Thứ Ba, ngày 17 tháng 3 năm 2015

Những trang mạng mang tên lãnh đạo đều là mạo danh

sinhtu1.jpg Logo nhóm Sinh Tử Lệnh để lại trên trang web nạn nhân
Chuyện bây giờ mới kể: Những trang mạng mang tên lãnh đạo đều là mạo danh (TT 16-3-15)
TTO - Đó là khẳng định của ông Trương Minh Tuấn, Thứ trưởng Bộ Thông tin và Truyền thông (TT&TT) khi trả lời báo giới về tình trạng mạo danh chính khách trên mạng xã hội hiện nay.

Ông Tuấn cho biết hầu hết các mạng xã hội hiện nay chưa có cơ chế cho phép xác thực danh tính của người sử dụng. Người sử dụng mạng xã hội có thể tự lựa chọn cho mình tên tài khoản để sử dụng. Vì vậy, việc mạo danh có thể thực hiện một cách dễ dàng.


Trên thực tế hiện nay trên mạng xã hội, có không ít trang blog và Facebook cá nhân mạo danh một số đồng chí lãnh đạo Đảng và Nhà nước. Ông Tuấn khẳng định hiện nay, các đồng chí lãnh đạo Đảng và Nhà nước không có blog và Facebook cá nhân.

Riêng trường hợp Bộ trưởng Y tế Nguyễn Thị Kim Tiến đã công khai trang mạng xã hội của mình và nhận được nhiều sự ủng hộ, ông Tuấn cho rằng trường hợp này Bộ trưởng Y tế Nguyễn Thị Kim Tiến công khai trang mạng xã hội của mình có ý nghĩa cầu thị, nhưng tất cả các phát ngôn chính thức đều phải thực hiện theo Quy chế phát ngôn do Thủ tướng Chính phủ ban hành theo Quyết định số 25/2013/QĐ-TTg.

Thứ trưởng Trương Minh Tuấn đánh giá hiện nay, trên mạng xã hội, việc mạo danh các cá nhân, tổ chức, nhất là mạo danh các đồng chí lãnh đạo Đảng, Nhà nước để phục vụ các ý đồ xấu là hết sức nguy hiểm. Vì vậy, người sử dụng mạng xã hội phải đề cao cảnh giác như cảnh giác đối với những kẻ mạo danh trong xã hội mà chúng ta vẫn thường bắt gặp.

Đối với việc phân biệt đâu là thông tin chính thống và giả mạo, ông Tuấn nhận định cách đơn giản nhất là người sử dụng chỉ nên coi nguồn tin được phát ngôn từ người phát ngôn được chỉ định của cơ quan, tổ chức, hoặc thông tin được đưa lên trang thông tin điện tử chính thức của cơ quan, tổ chức đó.






Thứ trưởng Thông tin: 'Lãnh đạo Đảng, Nhà nước không có Facebook'
VNExpress
“Những trang blog và Facbook mang tên các đồng chí lãnh đạo Đảng và Nhà nước đều là mạo danh, người sử dụng mạng xã hội phải đề cao cảnh giác”, Thứ trưởng Thông tin và Truyền thông Trương Minh Tuấn trao đổi với VnExpress. Thủ tướng: Không ...
Những trang mang tên lãnh đạo Đảng và Nhà nước trên mạng là ...
Lãnh đạo Đảng, Nhà nước không có blog và Facebook cá nhân
Người sử dụng mạng xã hội nên cảnh giác đối với những kẻ mạo ...


-Giả dạng lãnh đạo?

Sáng nay rãnh, ngồi táy máy một tí các trang "lãnh đạo" thì thấy khá nhiều điểm lý thú.
1. Tên miền:
Dựa vào trang khởi đầu là nguyentandung.org, lần theo những đường dẫn đến hàng loạt các trang khác như: trandaiquang.net, nguyenthiennhan.net, nguyensinhhung.net, truongtansang.net, nguyenphutrong.net, nguyenbathanh.net.
Tất nhiên các tên miền trong "bộ" như .com, .org, .biz, .info, .biz, thậm chí .us cũng có đầy đủ cho hầu hết các tên miền trên (ngoại trừ nguyentandung chỉ có .biz và .info, có lẽ ai đó thuổng mất mất tên miền "đẹp" của đồng chí X trước đó rồi). Tính ra ngót nghét gần 50 cái tên miền (thật sự bao nhiêu thì chưa rõ). Nếu tính theo "giá thị trường" thì cỡ $7 / năm, suy ra "ngân sách" cho tên miền không cũng phải là $7 x 7 x 6 # $294 / năm. Đó là chưa kể có vài tên miền đăng ký sẵn 2, 3 năm. Kinh phí chỉ cho tên miền chừng vài trăm đô la là chuyện nhỏ ;).



2.  Thử dig thì thấy:

nguyenphutrong.net 
173.212.212.196
184.82.202.136

trandaiquang.net
173.212.212.197
184.82.202.137

nguyentandung.org
173.212.212.198
184.82.202.130

truongtansang.net
173.212.212.200
184.82.202.132

nguyensinhhung.net
173.212.212.201
184.82.202.133

nguyenthiennhan.net
184.82.50.86
64.191.87.66

nguyenbathanh.net
184.82.50.82
64.191.87.117


Nhìn xuyên qua thì thấy:

- Những trang này nhất định do 1 nhóm quản lý vì không có cách gì nhiều nhóm mà có những IP sát nhau như vậy được. Nếu thuê mướn VPS thì chắc chắn không thể có IP liên tiếp sát nhau mà phải là những IP trải rộng ra.

-  Những trang ở trên được host trên ít nhất là 4 dedicated servers mỗi server có một chuỗi 5 hoặc 6 IP thuộc mạng 173.212.212., 184.82.202., 184.82.50. và 64.191.87. 

- Mỗi site được cân bằng tải bằng 2 IP khác nhau.

Với 4 con dedicated servers thế này, giá bèo lắm mỗi tháng phải $60 / con nhưng thực tế cần phải share ra nhiều site và mỗi site có hàng chục triệu "page view" như thế thì chắc chắn không phải là loại $60 / tháng mà phải là loại $150 - $200 / tháng là tối thiểu. Cứ cho trung bình 1 con là $ 175 / tháng thì:

$175 x 4 x 12 = $8400 / năm.


3. Thử xem "static" contents thì thấy:

cdn9.trandaiquang.net CNAME cdn.trandaiquang.net.
184.82.202.21
64.120.131.24

cdn9.nguyenthiennhan.net CNAME cdn.nguyenthiennhan.net.
184.22.148.22

cdn9.nguyensinhhung.net CNAME cdn.nguyensinhhung.net.
184.82.202.25
64.120.131.19

static9.nguyentandung.org CNAME    static.nguyentandung.org.
173.212.204.116
184.82.202.22
184.82.167.100
64.120.131.22
64.120.231.132

cdn9.truongtansang.net CNAME cdn.truongtansang.net.
64.120.131.25
184.82.202.24

cdn9.nguyenphutrong.net CNAME cdn.nguyenphutrong.net.
184.82.202.20
64.120.131.18

cdn9.nguyenbathanh.net CNAME    cdn.nguyenbathanh.net.
184.22.148.18

Điều này cho thấy, ngoài các con servers ở trên, hệ thống này có có những con dedicated servers chứa static contents, ít nhất là 5 con ở 5 mạng: 184.22.148., 64.120.131., 184.82.167.100, 64.120.231.132, 173.212.204.116.

Thường các con servers chạy static contents thì không cần cấu hình cao nhưng để phục vụ cho ít nhất 7 sites với hàng chục triệu "page view" cho mỗi site như thế thì mỗi con cũng phải ít lắm là $100 / tháng. Vậy thì:

$100 x 5 x 12 = $6000 / năm.


Tổng cộng 1, 2 và 3: $294 / năm + $8400 / năm + $6000 / năm = $14,694 / năm.

Bọn amateur nào mà lắm tiền thế? Đó là chưa kể thời gian thu thập hình ảnh, viết bài, đăng bài, copy bài, chăm sóc sites..v.v...  Kinh phí này là bao nhiêu?

-----------------------------

- Điều lý thú là tất cả các sites trên, kể cả những trang chứa static contents tiếp diện với Internet hoàn toàn chạy trên nginx. Các trang chính có vẻ như chạy trên nền wordpress và sử dụng một template tương tự nhau.

- Tất cả các tên miền đều sử dụng chức năng "privacy" để che giấu danh tính của người đăng ký và quản lý tên miền. Tại sao phải che giấu?

- Đặc biệt tên miền nguyenthiennhan.net thì có thông tin whois như sau:

Registrant Contact Details:
    PrivacyProtect.org
    Domain Admin        (contact@privacyprotect.org)
    ID#10760, PO Box 16
    Note - Visit PrivacyProtect.org to contact the domain owner/operator
    Nobby Beach
    Queensland,QLD 4218
    AU
    Tel. +45.36946676

đây là "chữ ký" đặc thù đã được phân tích trên trang hvaonline.net về việc hvaonline bị tấn công từ chối dịch vụ nặng nề trong khoảng giữa năm 2011 (http://www.hvaonline.net/hvaonline/posts/list/39641.hva). Những "masters" chứa khẩu lệnh cho botnet tấn công hvaonline hầu hết sử dụng cùng "chữ ký" trên.

Những dấu tích, biểu hiện của những thông tin trên làm tôi phải nhớ đến các "anh hùng" STL một thời lừng lẫy.

a. Tiền ở đâu ra và nhân lực ở đâu ra mà STL đã duy trì hàng loạt các tên miền, các máy chủ? Và tiền ở đâu ra, nhân lực ở đâu ra mà các vị "lãnh đạo" ở trên duy trì hàng loạt các tên miền, các máy chủ như trên?

b. Tại sao cũng là nginx?

c. Tại sao cũng là che đậy danh tính người đăng ký và quản lý tên miền?

d. Tại sao cũng là "chữ ký" Nobby Beach, Queensland AU" mà lại có số điện thoại của Đan Mạch?

e. Tại sao cũng là bơm thổi chế độ và những trò "bạch hoá" sặc mùi như nhau?
Theo FB Hoàng Ngọc Diêu



Thành viên diễn đàn HVA tìm và vô hiệu hóa Sinh Tử Lệnh
Tqvn2004 tổng hợp
Nhóm tin tặc Sinh Tử Lệnh nổi lên kể từ khi hack vào diễn đàn X-cafevn.org và Dân Luận ngày 28/2/2010, đánh cắp thông tin cá nhân của các thành viên và tung lên mạng tại trang sinhtulenh.org. Thực ra họ đã có nhiều hoạt động phá hoại từ trước, nhưng chưa lấy Sinh Tử Lệnh làm danh xưng. Rất nhiều trang web nổi tiếng đã trở thành nạn nhân của Sinh Tử Lệnh, trong đó phải kể đến blog Osin Huy Đức, trang Minh Biện, Talawas, Bauxite Việt Nam, blog Anh Ba Sàm, blog của nhạc sĩ Tô Hải, Thông Luận, v.v...

Hoạt động tấn công trên mạng của nhóm Sinh Tử Lệnh rất đa dạng, từ đánh cắp thông tin cá nhân (ví dụ mật khẩu hòm thư hoặc quyền điều khiển trang blog) bằng cách gửi email có virus hoặc lừa nạn nhân vào những trang web giả mạo (phishing) cho đến tấn công từ chối dịch vụ (DoS) quy mô lớn. Sinh Tử Lệnh đã đột nhập vào một số trang cung cấp phần mềm gõ tiếng Việt như VPS, Unikey hay VietKey, thay thế bộ gõ ban đầu bằng phiên bản có chứa mã độc (trojan), để biến máy tính của người sử dụng thành bàn đạp tấn công các trang web lề trái theo lệnh của họ. Nạn nhân gần đây nhất của những mạng botnet (mạng gồm nhiều máy tính bị nhiễm virus) của Sinh Tử Lệnh là Dân Làm Báo, Tin Tức Hàng Ngày, HVA Online và cả VietnamNet.
Rất may cho chúng ta là một số kỹ thuật viên bên mạng HVA Online đã bắt tay vào phân tích mã virus của nhóm Sinh Tử Lệnh, từ đó phát hiện ra rất nhiều phiên bản khác nhau của virus Sinh Tử Lệnh. Họ đã gửi những phân tích của mình tới các hãng phần mềm diệt virus nổi tiếng thế giới để cập nhật cách diệt (trước đó người ta chỉ biết tới một phiên bản là Vecebot), giúp loại bỏ loại trojan độc hại này khỏi máy của người sử dụng, nếu máy tính có cài trình diệt virus của hãng. Họ cũng đã tìm ra những trung tâm điều hành mạng botnet, và thông báo với nhà cung cấp dịch vụ để đóng cửa các server vi phạm pháp luật này.
Độc giả có thể hỗ trợ các thành viên HVA Online trong cuộc chiến chống lại Sinh Tử Lệnh bằng cách:
- Đọc về cách kiểm tra máy có bị nhiễm virus của Sinh Tử Lệnh hay không ở đây: http://www.hvaonline.net/hvaonline/posts/list/540/39641.hva
- Thông báo rộng rãi cho bạn bè mình cách kiểm tra máy tính
- Chuyển những mẫu nghi có virus tới thành viên HVA, hoặc
- Giúp các kỹ thuật viên HVA chuyển mẫu virus đã bị phát hiện tới các hãng diệt virus (càng nhiều người báo thì họ càng ưu tiên cập nhật cách diệt sớm hơn).
Theo nhận xét của Admin PXMMRF trên HVA Online thì đây là một tổ chức có khá nhiều thành viên và nguồn tài chính dồi dào:
Như chúng ta đã thấy qua quá trình giải mã (RCE) của anh TQN, Sinh Tử Lệnh (STL) có khá nhiều webserver, trên 10 cái, đặt ở nhiều quốc gia mà điển hình là Hoa Kỳ và Nga, chuyên dùng làm master-webserver, chỉ huy và điều khiển các cuộc tân công DDoS vào các trang mang Việt Nam. Nạn nhân mới đây chính là HVA. Nạn nhân mới nhất là Vietnamnet.net. Hôm nay trên báo SGGP, Vietnamnet đã xác nhân thông tin website này bị DDoS. Việc bị DDoS đã làm cho website này luôn bị quá tải. Việc truy cập đến các trang của website khá chậm, đăc biệt là các trang đăng tải các hình ảnh. Tuy có nhiều master webserver như vậy, nhưng thưc tế gần đây STL chỉ sử dung thường xuyên một số master website-webserver. Chúng là:
- second.dinest.net
- map.priper.info
- speed.cyline.org
- net.iadze.com
- một, hai website-webserver khác
STL thường chuyển nhiệm vụ thường trực chỉ huy điều khiển mang bot (in-charge) từ webserver này sang webserver khác, nhằm làm chúng ta bối rối trong việc theo dõi. Ngoài ra chúng còn thay đổi cổng truy cập, thí dụ từ 80 TCP sang 8080 TCP hoăc sang 443 TCP HTTPS.... Gần đây STL cũng đã dời webserver second.dinest.net từ một địa chỉ IP tĩnh cũ sang một đia chỉ IP tĩnh mới, để đánh lạc hướng người theo dõi.
Các webserver nói trên hầu hết hay tất cả chỉ hosting (đặt) một website duy nhất làm nhiệm vụ master webserver cho mạng bot. Các webserver nói trên đa phần là các dedicated server (server thuê riêng), chỉ một hai cái có thể là virtual server (Hai hay vài virtural server cùng trên một máy chủ).
Để theo dõi, điều chỉnh, bảo dưỡng, giải quyết các trục trặc về KT và hành chính từ xa (remote management) tất cà các master webserver nói trên thường xuyên, hàng giờ thì chắc chắn STL phải cần ít nhất là từ 3-4 người có trình độ KT khá và tương đối thông thạo ngoai ngữ (tiếng Anh). Thông thao đươc hiểu là trao đổi đươc qua phone, khi khẩn cấp và qua email. Chứ không phải là người có trình độ tiêng Anh ngớ ngẩn như một thành viên non nớt của STL viết một câu tiếng Anh dớ dẩn như vừa qua.
Ai đã từng đặt một webserver ở nước ngoài đều biết rõ và trải nghiệm điều này.
Chi phí thuê nhiều webserver đặt ở nước ngoài như STL đang làm, không hề nhỏ chút nào. Ai đã thuê dedicated server nước ngoài cũng biết rõ điều này. Các chi phí phụ, cần cho webserver hoạt động ổn định thường lại khá cao.
Để làm được rất nhiều việc như ta đã thấy hiện nay (không chỉ theo dõi quản lý các webserver, mà còn nhiều việc khác, như viết, sưu tầm các mã virus, trojan, tổ chức và thưc hiện việc gây nhiễm hàng trăm ngàn máy zombies ở VN và nước ngoài với virus tạo ra, theo dõi hiệu quả của quá trình....) STL cần nhiều nhân lực. STL cũng còn phải có một nhóm chuyên đọc, theo dõi nội dung và các bài viết trên rất nhiều website, blog trên mạng, để quyết định hay xin chỉ thị cấp trên là đánh (DDoS hay khui thông tin cá nhân nói xấu người chủ trì trang mạng) ai? Đánh như thế nào (đánh cảnh cáo - có thể như với Vietnamnet.net, hay đánh cho sụp hẳn - như với HVA)? Đánh thật hay đánh giả? (Đánh giả để che giấu mục đích thật, sâu xa của STL)..... Các bạn thử đoán xem cần bao nhiêu người để làm cho đạt yêu cầu (của cấp trên) việc này?
Nếu ai đó nói về một vài công việc khác mà có thể STL đang làm, chúng ta có thể phải kinh ngạc về khối lượng công việc họ phải làm và thán phục về ý tưởng sâu xa, thâm hiểm của họ.
Tôi nghĩ rằng STL là một tổ chức khá chặt chẽ, với biên chế hàng chục người, có thể lên đến 40-50 người, kể cả cấp trên trực tiếp. Tất nhiên STL gồm nhiều thành phần trong đó có vài bạn nhỏ VN biết ít nhiều về virus, nhưng dại dột trong cuộc sống. Nhưng cũng có những những người có trình độ khá, hay rất khá về virus, IT hoặc có những ý tưởng độc đáo, thông minh. Vì vậy không nên đánh giá STL quá thấp, như một số bạn đã viết. Cũng không nên đánh giá quá cao, để sợ.
Điều lạ lùng là nhóm Sinh Tử Lệnh tấn công dai dẳng vào một trang tin lớn của Việt Nam, đó là VietnamNet, mà không thấy cơ quan chức năng nào vào cuộc để tìm ra thủ phạm, theo như lời của Admin Conmale:
Sáng nay vô thử Vietnamnet thì vẫn tràn ngập trong "biển lửa". Tất cả các trang mạng thuộc Vietnamnet đều chập chờn và đa số là bị lỗi 404. Hôm trước có vô được nhưng cực kỳ chậm. Điều này chứng tỏ cho đến nay Vietnamnet vẫn còn bị tấn công nặng nề, thậm chí còn nặng nề hơn mấy hôm trước. Botnet của Sinh Tử Lệnh vẫn tiếp tục "crawl" (dựa thông tin lấy từ con vmware đang chạy thử) và dường như Vietnamnet ứng dụng javascript để redirect nhưng chỉ thuần tuý redirecting nhưng không kiểm soát cụ thể cái gì được redirect và cái gì không được redirect. Hơn nữa, botnet của Sinh Tử Lệnh đập thẳng vô những trang chính của của Vietnamnet và sau đó tiếp tục "crawl" thì không có cách gì đỡ nổi.
Về mặt pháp lý, lẽ nào một trang web lớn như Vietnamnet, một trong những cơ quan ngôn luận của nhà nước mà vẫn bó tay thúc thủ? Thông tin giải mã đã được anh em ở HVA công bố quá đầy đủ. Các cơ quan chức năng thừa sức mạnh để làm việc xuyên qua những channel chính thức để thộp cổ bọn tội phạm này. Nếu chuyện tường lửa đã được áp dụng để cản đến mức độ từng blog mà không thể dùng tường lửa để cản các master bots thì đây quả là chuyện kỳ lạ.
Để bảo vệ chính mình, hãy sử dụng ít nhất một chương trình diệt virus được cập nhật thường xuyên. Nếu không có tiền mua, độc giả có thể dùng tạm các bản miễn phí nổi tiếng sau đây:
- AVG Free
- AVAST! Free
- AVIRA Free
- Microsoft Security Essentials

Nguồn:-Thành viên diễn đàn HVA tìm và vô hiệu hóa Sinh Tử Lệnh

Tổng số lượt xem trang