Đây có lẽ cũng là nguồn gốc tấn công DDoS tới các trang X-cafevn.org và Dân Luận. Cho tới nay X-cafevn.org và Dân Luận vẫn tiếp tục bị tấn công, tuy với cường độ nhẹ hơn...
Bộ phận an ninh mạng của tập đoàn Google cho hay đã phát hiện ra chiến dịch tấn công các trang web nhạy cảm chính trị bằng tiếng Việt.
Hãng bảo mật McAfee trong khi đó cáo giác tin tặc có thể có liên hệ với chính phủ Việt Nam.
Phía Việt Nam chưa có phản hồi gì về các cáo buộc trên tuy một chuyên gia về chống tin tặc của Việt Nam nói cần phải có điều tra chính thức và đầy đủ thì mới có thể đưa ra được kết luận.
Ông Nguyễn Tử Quảng, giám đốc Trung tâm an ninh mạng BKIS thuộc Đại học Bách khoa, cho rằng cáo buộc của McAfee là "hơi vội vàng".
Trong blog về an ninh mạng của Google, chuyên gia Neel Mehta viết rằng các kỹ sư của hãng này đã thu thập được thông tin về đe dọa an ninh nhằm vào người Việt sử dụng máy tính trên toàn thế giới.
Ông Mehta nói đợt tấn công này nhằm vào các trang mạng có nội dung nhạy cảm về chính trị, nhất là các trang chứa thông tin phản đối dự án khai thác bauxite ở Tây Nguyên của chính quyền.
Theo Google, tin tặc phát tán phần mềm ác tính (malware) qua việc tải phần mềm dùng để đánh font chữ tiếng Việt hoặc phần mềm khác, và con số người bị ảnh hưởng có thể tới hàng chục nghìn.
Chuyên gia Mehta viết: "Tuy malware này không tinh vi cho lắm, nó vẫn được sử dụng với mục đích độc hại".
Nó được sử dụng để theo dõi người dùng máy tính hoặc tạo lỗi DDoS khiến các trang mạng, nhất là các trang mang nội dung bất đồng chính kiến, không thể truy cập được.
"Đặc biệt, các cuộc tấn công của tin tặc nhằm vào việc dẹp yên phản đối các dự án bauxite ở Việt Nam, một chủ đề quan trọng và gây bức xúc ở trong nước".
Mục đích chính trị
Trong khi đó, hãng McAfee trên blog của mình cũng đề cập tới các cuộc tấn công của tin tặc này.
Kỹ sư trưởng về công nghệ của McAfee, ông George Kurtz, viết: "Chúng tôi cho rằng tin tặc có thể có mục đích chính trị và có thể có liên hệ với Chính phủ CHXNCN Việt Nam".
Khi cùng Google nghiên cứu malware mà tin tặc sử dụng đối với các máy tính của người Việt, McAfee phát hiện ra rằng tin tặc đã cải biến phần mềm font tiếng Việt VPSKeys của Hội chuyên gia Việt Nam để gài virus Trojan vào phần mềm này.
McAfee nói rằng điều tra của hãng này chỉ về các máy chủ với địa chỉ IP nằm tại Việt Nam.
Tuy nhiên, chuyên gia an ninh mạng Việt Nam Nguyễn Tử Quảng nói để xác định nguồn gốc tin tặc thì chỉ dựa vào địa chỉ IP là chưa đủ.
Ông nói với BBC: "Tôi nghĩ, các cơ quan luật pháp phải vào cuộc điều tra thì mới có thể xác định chính thức tin tặc là ai và ở đâu".
Google thì nhận định đợt tấn công này cũng tương tự chiến dịch tin tặc mới đây ở Trung Quốc và kêu gọi cộng đồng quốc tế đấu tranh với tình trạng tin tặc để "khơi chảy dòng tư tưởng tự do".
Tuần trước tập đoàn này đã chuyển dịch vụ tìm kiếm Trung Quốc sang Hong Kong sau khi đối đầu với chính quyền Bắc Kinh về các cáo giác tin tặc.
Các cuộc tấn công được cho là nhắm tới hơn 30 công ty.
Google cho biết tin tặc đánh vào tài khoản e-mail của các nhà hoạt động nhân quyền Trung Quốc.
Các tin tặc đã sử dụng một lỗ hổng bảo mật trong trình duyệt Internet Explorer của Microsoft để tấn công.
Chính phủ Trung Quốc tới nay vẫn bác bỏ liên quan.
Political cyber-attacks came from within Vietnam, Google says M&C
Google Finds Cyber Attacks on Vietnam Mine Dissidents (Update1)
Google Inc., which moved its search engine out of mainland China this month after claims of cyber attacks on human-rights activists, said it detected software targeted at critics of bauxite mining in neighboring Vietnam.
Google: Tin tặc tấn công những người chỉ trích dự án bauxite ở VN VOA
Tin tâc Việt Nam - Vụ bôxít: Google cáo giác về 'tin tặc chính trị' VN (BBC 31-3-10) -- Google Detects Internet Attacks on Opponents of Vietnam Mining (Bloomberg - Businessweek 30-3-10) -Google: Malware Targets Vietnamese Activists (PC World 3-3-10) -- Google phát giác là những người chống đối vụ bôxít bị tin tặc tấn công ◄ Đây là cái blog liên hệ của Google: The chilling effects of malware (Google Security Team 30-3-10) - Nên xem thêm cái blog này để biết cách phòng thủ Gmail: Detecting suspicious account activity (24-3-10)
Trung Quốc - Tin tặc: Journalists’ E-Mails Hacked in China (NYT 30-3-10)
George Kurtz – Đợt tấn công vi tính nhằm vào những người sử dụng tiếng Việt
Đông Hiến dịch
Chắc nhiều độc giả đã đọc bài trên Google blog post về các cuộc tấn công nhằm vào máy vi tính của những người sử dụng tiếng Việt và nhiều thứ tiếng khác. Con bọ xâm nhập, do McAfee phát hiện trong quá trình điều tra vụ Aurora, đã lũng đoạn các máy vi tính của nạn nhân trong một cuộc tấn công có biểu hiện của động cơ chính trị. McAfee đã và đang trao đổi kết quả từng bước với Google theo sát với diễn tiến của cuộc điều tra.
Những kẻ tấn công tạo ra con bọ bằng cách nhằm trước vào những người sử dụng tiếng Việt và cài phần mềm theo dõi được ngụy tạo dưới vỏ bọc phần mềm hỗ trợ ngôn ngữ tiếng Việt. Bộ gõ được biết đến với tên gọi VPS Keys là phần mềm khá thông dụng trong giới sử dụng Windows tiếng Việt, cho phép người dùng bỏ dấu chính xác khi dùng các ứng dụng của Windows.
Bộ mã điều khiển bọ được ngụy trang dưới vỏ bọc phần mềm bàn phím đã được tải về các máy tính cá nhân, để sau khi xâm nhập được máy tính của nạn nhân sẽ kết hợp với con bọ, trở thành công cụ có thể điều khiển từ xa thông qua một hệ thống kiểm soát và điều khiển đặt trên khắp thế giới, được truy cập chủ yếu từ các địa chỉ IP đặt tại Việt Nam.
Chúng tôi tin rằng kế hoạch đặt bọ được khởi động từ cuối năm 2009, trùng hợp ngẫu nhiên với các đợt tấn công trong vụ Operation Aurora attacks. Mặc dù phòng nghiên cứu kỹ thuật McAfee phát hiện được phần mềm có mục đích xấu này trong vụ Aurora, nhưng chúng tôi cho rằng hai vụ này không có liên quan gì với nhau. Mã điều khiển bọ này đơn giản hơn rất nhiều so với vụ tấn công Aurora. Đó là mã điều khiển rất thông dụng, có thể dùng để điều khiển các máy tính bị nhiễm tham gia các vụ tấn công từ chối dịch vụ (DDoS), kiểm soát hoạt động của các hệ thống bị nhiễm, và các mục đích mờ ám khác.
Chúng tôi tin rằng những kẻ chủ mưu đợt tấn công này trước tiên đã thâm nhập trang www.vps.org, một trang mạng của Hộ Chuyên gia Việt Nam (VPS) và đánh tráo phần mềm hỗ trợ bàn phím bằng một vi rút con ngựa thành Tơ-roa (Trojan horse). Sau đó, những kẻ tấn công gửi một e-mail đến tất cả các máy tính cá nhân mà họ chủ trương tấn công, hướng dẫn những người này truy cập vào trang VPS để họ tải về bộ gõ mới, nhưng thực chất là vi rút Tơ-roa.
Bộ gõ ngụy tạo này, được McAfee đặt tên là W32/VulcanBot, liên kết máy tính bị xâm nhập với một mạng lưới các máy tính nạn nhân khác. Trong quá trình điều tra về con bọ xâm nhập, chúng tôi phát hiện được khoảng mười hai hệ thống/lệnh điều khiển và kiểm soát trên mạng lưới các máy tính bị xâm nhập. Máy chủ điều khiển và kiểm soát các mạng lưới này được truy cập chủ yếu từ các địa chỉ IP đặt tại Việt Nam.
Vi rút Tơ-roa đã cài đặt các phần mềm có mục đích xấu trong danh sách dưới đây vào các máy tính bị nhiễm:
* %UserDir%\Application Data\Java\jre6\bin\jucheck.exe
* %UserDir%\Application Data\Java\jre6\bin\zf32.dll
* %UserDir%\Application Data\Microsoft\Internet Explorer\Quick Launch\VPSKEYS 4.3.lnk
* %RootDir%\Program Files\Adobe\AdobeUpdateManager.exe
* %RootDir%\Program Files\Java\jre6\bin\jucheck.exe
* %RootDir%\Program Files\Microsoft Office\Office11\OSA.exe
* %SysDir%\mscommon.inf
* %SysDir%\msconfig32.sys
* %SysDir%\zf32.dll
* %SysDir%\Setup\AdobeUpdateManager.exe
* %SysDir%\Setup\jucheck.exe
* %SysDir%\Setup\MPClient.exe
* %SysDir%\Setup\MPSvc.exe
* %SysDir%\Setup\OSA.exe
* %SysDir%\Setup\wuauclt.exe
* %SysDir%\Setup\zf32.dll
Những file này, khi được khởi động, sẽ tự động liên kết với các trang chủ dưới đây:
* google.homeunix.com
* tyuqwer.dyndns.org
* blogspot.blogsite.org
* voanews.ath.cx
* ymail.ath.cx
Dù ban đầu, có thông báo rằng một số trang chủ (domain) và file nói trên liên quan tới vụ Aurora, nhưng chúng tôi vẫn cho rằng vụ tấn công này không liên quan gì tới Aurora và sử dụng các máy chủ hoàn toàn khác để điều khiển và kiểm soát.
Chúng tôi tin rằng những kẻ chủ mưu có thể có động cơ chính trị và có vẻ trung thành với chính phủ nước Cộng hòa Xã hội Chủ nghĩa Việt Nam. Hiến chương của Hội Chuyên gia Việt Nam là nâng cao tri thức và sự hiểu biết về điều kiện kinh tế, xã hội của các quốc gia Đông Nam Á, theo nguồn Wikipedia.
McAfee đã cập nhật chương trình phát hiện phần mềm xấu vào tháng Giêng, đồng thời chúng tôi cũng cung cấp dịch vụ bảo vệ chống các phần mềm xấu liên quan tới vụ Aurora. Con bọ này vẫn đang trong chế độ hoạt động và các vụ tấn công từ con bọ này hiện vẫn đang tiếp diễn.
Vụ việc này nhấn mạnh thêm rằng, không phải mọi vụ tấn công vi tính đều nhằm mục đích lấy cắp dữ liệu hoặc tiền bạc. Có lẽ đây là bằng chứng mới nhất về chủ trương sử dụng tin tặc và các vụ tấn công vi tính với động cơ chính trị, hiện đang có chiều hướng tăng lên, và đã trở thành một đề tài thường được McAfee đề cập đến trong các ấn phẩm của mình. Trong một bài báo tuyệt vời về Tội phạm vi tính và tin tặc mới xuất bản tháng này, nhà nghiên cứu Francois Paget đã phân tích rất kỹ càng về vấn đề này. Bài báo cũng được đề cập trong số mới nhất của tờ Quarterly Threat Report xuất bản hàng Quý của chúng tôi.
Chúng tôi sẽ tiếp tục cập nhật thông tin đến bạn đọc về các diễn tiến mới của vụ việc này.
Bạn có thể theo sát McAfee CTO trên trang George Kurtz on Twitter
Nguồn: http://siblog.mcafee.com/cto/vietnamese-speakers-targeted-in-cyberattack/
Bản tiếng Việt © 2010 Đông Hiến
Bản tiếng Việt © 2010 talawas
