Phát hiện mới về vụ tấn công website Mỹ, Hàn

Cảnh sát Hàn Quốc xác định mã độc xuất xứ từ Hàn Quốc được sử dụng trong các vụ tấn công website chính phủ nước này hồi đầu tháng 7 - vụ việc từng xôn xao trên mạng VN vì liên quan đến Bkis.

Báo cáo mới nhất của cơ quan phòng chống tội phạm mạng thuộc Cảnh sát quốc gia quốc gia Hàn Quốc cho biết, rất có thể những mã độc nguy hiểm đã được sử dụng trong các vụ tấn công từ chối dịch vụ (DDoS) vào các website chính phủ Hàn Quốc do chính các hacker “nội địa” sản xuất ra.

Theo kết quả điều tra của cơ quan này, xuất phát điểm của các mẫu mã độc là hai website lưu trữ trực tuyến chuyên quản lý các giao dịch chia sẻ file ngang hàng (peer – to – peer) đặt tại thủ đô Seoul và thành phố Busan của Hàn Quốc.

Trong khi đó, các nhà chức trách bao gồm cả Ủy ban Truyền thông Hàn Quốc (KCC) và Cơ quan Tình báo quốc gia (NIS) vẫn đang tiếp tục lần theo các manh mối để tìm ra thủ phạm của các vụ tấn công này.

Cảnh sát Hàn Quốc cho biết, 21 trong tổng số 27 máy tính ma (zombie) mà họ đã thu thập và điều tra cho thấy chúng đã bị nhiễm các mã độc có nguồn gốc từ 2 địa chỉ lưu trữ trực tuyến kia.

Mặc dù các phần mềm mã độc này được phán tán thông qua các website của Hàn Quốc, những kẻ tấn công đã sử dụng 4 máy chủ khác nhau đặt tại nước ngoài để điều khiển các cuộc tấn công này.

"Thủ phạm của những kẻ tấn công DDoS đã hack 2 website này của Hàn Quốc đặt tại Seoul và Busan và sau đó bí mật chuyển chúng thành các file dạng cập nhật (update) để đánh lừa người dùng", một quan chức của cảnh sát nói, “Chúng tôi đã phát hiện ra rằng thủ phạm đã dùng 4 máy chủ ở nước ngoài để phát ra các lệnh tấn công”.

Hơn 80.000 máy tính ở Hàn Quốc đã ảnh hưởng bởi các vụ tấn công DDoS bắt đầu từ ngày 7/7. Trong thời gian đó, cả Mỹ và Trung Quốc cũng bị tấn công nhưng với mức độ nhẹ hơn.

Phần mềm mã độc được sử dụng trong các vụ tấn công này hầu hết thuộc dạng “botnet”, dạng phần mềm tự động chạy bí mật và phát động các cuộc tấn công. Các botnet này sẽ lây nhiễm vào các máy tính và biến chúng thành “thây ma” để nhận lệnh tấn công từ các hệ thống máy chủ điều khiển (command and control - C&C) do hacker dựng lên.

Tổng số đã có 432 máy chủ đặt tại 61 quốc gia đã được hacker huy động trong các cuộc tấn công này, một quan chức cảnh sát tiết lộ.

Theo dữ liệu mà cơ quan bảo vệ pháp luật Đức cung cấp, 98% trong tổng số 55.500 máy tính “ma” đã liên lạc với một máy chủ C&C đặt tại Đức là các máy tính có nguồn gốc từ Hàn Quốc.