Nhìn lại vụ hack nghiêm trọng nhất lịch sử Internet VN

Bắt đầu từ trưa Chủ nhật (27/7) vừa qua, một số các địa chỉ website của các doanh nghiệp, tổ chức, diễn đàn, trang mua bán trực tuyến... xuất hiện lỗi không thể truy cập được, trình duyệt web liên tục báo địa chỉ không tồn tại.

Doanh nghiệp và người sử dụng Internet điêu đứng

Các doanh nghiệp lập tức huy động đội ngũ kỹ thuật để khắc phục sự cố cho website của mình. Nhưng tất cả đều bất lực khi biết được nguyên nhân vào cuối ngày Chủ nhật: Máy chủ phân giải tên miền của nhà cung cấp P.A. Vietnam không hoạt động.

Ngày thứ 2 đầu tuần (28/7) nhiều doanh nghiệp trở nên rối loạn hơn, khi khách hàng liên tục gọi điện tới thắc mắc không thể truy cập vào website. Tình trạng càng trở nên tồi tệ khi hệ thống máy chủ e-mail dùng chung tên miền với website cũng không thể hoạt động.

Số lượng các tên miền không truy cập được cũng tăng lên nhanh hơn trong buổi trưa ngày thứ 2. Đến cuối giờ chiều, toàn bộ các website sử dụng máy chủ DNS của P.A. Vietnam hoàn toàn bị tê liệt.

Thông báo của P.A Vietnam về sự cố bị hack tên miền DNS.

Buổi trưa cùng ngày, báo chí bắt đầu thông tin về một vụ tấn công tên miền nhằm vào P.A Việt Nam, doanh nghiệp cung cấp tên miền và hosting hiện đang quản lý gần 10.000 tên miền cho các doanh nghiệp, tổ chức trong nước. Thông tin ban đầu cho biết 3 tên miền quan trọng của P.A. đã bị hacker cướp quyền điều khiển, chuyển từ nhà quản lý tên miền ENOM của Mỹ sang một nhà quản lý khác.

Các website của doanh nghiệp, tổ chức, diễn đàn... nháo nhác tìm phương án khắc phục bằng cách thay thế địa chỉ máy chủ DNS của P.A Vietnam bằng một máy chủ DNS khác. Tuy nhiên, điều này không dễ thực hiện nếu các tên miền được quản trị qua công cụ trên website của P.A, vì bản thân các website này của P.A Vietnam cũng không thể hoạt động.

Sau khi vụ cướp tên miền xảy ra, P.A Vietnam và các khách hàng có tên miền .vn đã khắc phục sự cố bằng cách chuyển đổi máy chủ DNS về địa chỉ pavietnam.vn hoặc đổi sang địa chỉ DNS khác và cập nhật bằng tay về hệ thống quản lý tên miền VNNIC.

Đến ngày 30/7, bằng cách thiết lập một máy chủ DNS mới tại địa chỉ ns*.pavietnam.vn, hầu hết các website khách hàng của P.A. đã bắt đầu hoạt động được trở lại sau khi đổi sang dùng địa chỉ máy chủ DNS mới.

Vụ tấn công gây hậu quả chưa từng có tại Việt Nam

Trong lịch sử hơn gần 11 năm qua của Internet Việt Nam, chưa có một vụ tấn công qua mạng nào lại gây ảnh hưởng nghiêm trọng cùng lúc tới hàng ngàn website như vậy. Những vụ hack "đình đám" và tốn nhiều giấy mực của báo chí nhất từ trước tới giờ cũng chỉ gây tác hại trong phạm vi hẹp.

Một số vụ hack website lớn có thể kể đến như vụ cướp tên miền tintucvietnam.com để tố cáo nhóm iCMS giành giải nhất cuộc thi Trí tuệ Việt Nam 2003 đã phạm quy, vụ tấn công từ chối dịch vụ DDOS với mục đích phá hoại nhằm vào website TMĐT của công ty Việt Cơ, vụ cướp tên miền website Chợ điện tử của công ty Peace Soft với mục đích bôi nhọ danh dự cá nhân, hay gần đây hơn là vụ tấn công vào trang chủ website của Bộ Giáo dục đào tạo cuối năm 2007 gây xôn xao dư luận.

Hầu hết các vụ tấn công "nổi tiếng" này chỉ nhằm vào một địa chỉ website cụ thể với mục đích phá hoại uy tín, tài sản doanh nghiệp hoặc tố cáo, bôi nhọ danh dự cá nhân. Nhưng chưa hề có một vụ tấn công qua mạng nào có quy mô rộng lớn, khiến hàng ngàn website đồng loạt ngừng hoạt động như vụ hack tên miền của P.A. Vietnam.

Tên miền 5giay.com bị hacker chèn frame để load trang Yahoo Việt Nam và Google Việt Nam.

Hàng trăm, thậm chí hàng ngàn doanh nghiệp bị thiệt hại không nhỏ từ vụ tấn công do hệ thống website, e-mail không thể hoạt động, các giao dịch mua bán, giới thiệu qua website TMĐT, diễn đàn bị ngưng trệ. Tất nhiên, doanh nghiệp bị thiệt hại nặng nề nhất về uy tín, vật chất chính là P.A. Vietnam. Dường như đây cũng là mục tiêu chính của kẻ thực hiện vụ tấn công này.

Động cơ phá hoại doanh nghiệp?

Sau hơn 3 ngày kể từ khi bị tấn công, đến ngày thứ 4 (30/7), phần lớn các website bị ảnh hưởng đã bắt đầu hoạt động trở lại nhưng chưa thực sự ổn định. P.A Vietnam vẫn chưa thể giành lại quyền điều khiển các tên miền quan trọng của mình là pavietnam.net và pavietnam.com.

Đến trưa ngày 30/7, hai địa chỉ pavietnam.com và pavietnam.net vẫn được đặt frame để load về địa chỉ gốc pavietnam.vn, còn 5giay.com vẫn được đặt frame để load trang chủ Google hoặc Yahoo. Đến chiều cùng ngày, 5giay.com đã được sửa nội dung frame để load về đúng trang 5giay.vn (vẫn hoạt động bình thường), nhưng pavietnam.vn và pavietnam.net lại bị sửa frame để load trang... 5giay.vn.

Theo quan sát của VietNamNet cũng như đánh giá của một số chuyên gia bảo mật, thủ phạm vụ tấn công vẫn đang nắm quyền kiểm soát các tên miền pavietnam.net, pavietnam.com, 5giay.com và đang chơi trò "mèo vờn chuột" để gây áp lực với P.A Vietnam và website 5 giây.

Chuyên gia của trung tâm VNCERT khẳng định việc đặt frame và tải nội dung từ website khác là do hacker thực hiện. Phía P.A Vietnam cũng xác nhận việc chưa kiểm soát lại được các tên miền bị mất, nên không thể thực hiện được đặt và sửa đổi nội dung frame trên các tên miền này.

Dò tìm "hành tung" của kẻ thủ ác

Hầu hết các ý kiến của giới chuyên gia bảo mật và các diễn đàn công nghệ đều cho rằng kẻ thực hiện vụ tấn công là hacker trong nước và có chủ ý muốn "phá" P.A. Vietnam, làm tổn hại về uy tín và hoạt động kinh doanh của doanh nghiệp này.

Giả định khả năng hack vào hệ thống quản lý tên miền của nhà cung cấp tên miền ENOM để chiếm quyền điều khiển các tên miền của P.A. Vietnam là rất khó, vì ENOM là nhà cung cấp tên miền khá lớn và có chế độ bảo mật tốt. Việc chuyển nhà quản lý tên miền từ ENOM sang ONLINENIC cũng không hề đơn giản và mất thời gian tới vài tháng, đòi hỏi hacker nắm được mật khẩu e-mail điều khiển domain và đã tiến hành quá trình chuyển từ trước.

Từ các lý do trên, một số phán đoán cho rằng kẻ tấn công có thể sử dụng các hình thức ăn cắp mật khẩu tài khoản e-mail quản trị tên miền để ngầm thực hiện việc giành quyền kiểm soát.

Đánh giá của các chuyên gia bảo mật trong nước cũng cho rằng việc P.A Vietnam bị cướp tên miền không liên quan tới nguy cơ các máy chủ DNS bị tấn công đầu độc bộ nhớ cache (cache poisoning) được cảnh báo từ đầu tháng 7.

Một số thông tin cũng phán đoán rằng sự cố này của P.A. Vietnam có thể liên quan đến hệ thống mạng của FPT, nơi P.A. đặt máy chủ. Hacker đã tấn công vào P.A. thông qua một khách hàng ngang hàng. Tuy nhiên, phía P.A cho biết cũng chưa có cơ sở cụ thể nào để khẳng định hay phủ định giả thiết này.

Cho dù thực hiện bằng cách nào, thì kẻ thực hiện vụ tấn công tên miền nghiêm trọng này đã có chủ ý đánh sập toàn bộ hệ thống máy chủ tên miền của P.A, đồng thời làm tê liệt toàn bộ các tên miền của hàng ngàn website khách hàng khác. Đây là hành động phá hoại rất nguy hiểm, đe doạ sự tồn vong của doanh nghiệp và cần bị pháp luật xử phạt nghiêm minh.

Bài học đắt giá về "sính" tên miền ngoại hơn nội

Thông thường, các website và máy chủ tại Việt Nam thường sử dụng các tên miền có đuôi .com và .net để tương tự như các quốc gia khác. Tuy nhiên, trong sự cố nghiêm trọng nói trên, những tên miền .vn đã "cứu thua" cho P.A Vietnam, giúp hệ thống website và máy chủ DNS phục hồi lại nhanh chóng chỉ sau khoảng 3 ngày.

Trong 2 hệ thống máy chủ DNS của P.A, hệ thống chính sử dụng các tên miền ns*.pavietnam.net (* từ 1 đến 13), hệ thống DNS dự phòng sử dụng tên miền ns*.pavietnam.com. Do đó, khi bị hacker chiếm quyền điều khiển pavietnam.net và pavietnam.com và chuyển sang nhà quản lý tên miền quốc tế khác, quá trình P.A Vietnam và ENOM làm thủ tục kiện để đòi lại tên miền sẽ mất hàng tuần, thậm chí cả tháng.

Trong sự cố nói trên, sau khi 2 tên miền chính cho hệ thống DNS bị chiếm đoạt, P.A Vietnam đã phải cấp tốc tạo mới một máy chủ DNS khác để sử dụng tên miền ns*.pavietnam.vn để phục vụ khách hàng. Website pavietnam.vn cũng là tên miền duy nhất mà PA còn kiểm soát được để cung cấp thông tin, công cụ hỗ trợ khách hàng thay đổi địa chỉ DNS.

Tuy nhiên, nếu hệ thống máy chủ DNS dự phòng sử dụng tên miền pavietnam.vn ngay từ đầu, sự cố có thể đã không xảy ra. Kể cả trong trường hợp tên miền pavietnam.vn bị hack, Trung tâm VNNIC tại Việt Nam vẫn có thể nhanh chóng khôi phục lại quyền quản trị tên miền cho P.A. Vietnam, giúp giảm thiểu ảnh hưởng tới các website khách hàng đang sử dụng các máy chủ DNS này.

Rào cản hiện nay khiến các doanh nghiệp trong nước chưa thực sự mặn mà với tên miền .vn là mức phí đăng ký vẫn còn khá cao, từ 1 triệu VNĐ trở lên, trong khi đăng ký một tên miền quốc tế có thể chỉ mất 10 USD. Việc thu phí 180.000đ/lần đổi địa chỉ DNS server đang được VNNIC áp dụng cho các tên miền .vn cũng khiến nhiều doanh nghiệp ngần ngại, vì các nhà cung cấp tên miền quốc tế cho phép đổi địa chỉ DNS server hoàn toàn miễn phí qua công cụ web.

Bài học của P.A Vietnam trong sự cố nghiêm trọng nói trên, chính là song song với hệ thống DNS dùng tên miền quốc tế, cần duy trì một hệ thống dự phòng sử dụng tên miền .vn để luôn đảm bảo khả năng kiểm soát và giành lại được tên miền nhanh chóng trong trường hợp bị hacker tấn công.