Thủ phạm tấn công DDoS website Vietco lộ mặt!

Đối tượng tiến hành tấn công từ chối dịch vụ phân tán (DDoS) vào website thương mại điện tử Vietco thời gian qua đã bị cơ quan điều tra bắt giữ sáng 28/4/2006. Đối tượng đã bước đầu khai nhận các hành vi DDoS này. Người này được xác định có tên là Nguyễn Thành C. (Đắc Lắc), thành viên của nhóm hacker "Bé yêu", được biết đến với nick name DantruongX.

Chỉ cần thay đổi thông tin đường link website "nạn nhân" phía trên, là tất cả các máy tính trong mạng BOTNET sẽ đồng loạt tấn công!


Theo thông tin từ trung tâm an ninh mạng BKIS, đối tượng tiến hành tấn công DDoS website thương mại điện tử Vietco.com sáng 28/4/2006 đã bị cơ quan công an tạm giữ tại Đắc Lắc. Bước đầu C. đã thừa nhận có hành vi cố ý tấn công từ chối dịch vụ vào website vietco.com trong thời gian qua như VietNamNet đã đưa tin. Cơ quan trực tiếp tiến hành điều tra vụ việc là C15 - Bộ công an. Sau hơn một tháng theo dõi, C15 đã tiến hành bắt giữ Nguyễn Thành C. vào sáng 28/4. Đến chiều tối cùng ngày, gia đình đã bảo lãnh C. và được cho tại ngoại.

Sau khi VietNamNet đăng tải bài viết về việc website công ty Việt Cơ bị DDoS đứng trước nguy cơ phá sản, nhiều đơn vị an ninh mạng đã chủ động liên hệ qua VietNamNet để giúp đỡ doanh nghiệp này giải quyết sự việc. Đáng chú ý có Trung tâm an ninh mạng VSEC - giúp đỡ miễn phí bảo mật hệ thống, nâng cấp server và chống DDoS. Trung tâm an ning mạng BKIS cũng đã liên hệ lấy các thông tin để tiến hành phân tích và sau đó chuyển cho cơ quan công an nhằm hỗ trợ quá trình điều tra.

Ông Nguyễn Tử Quảng, giám đốc BKIS nhận định: "Theo các thông tin mà chúng tôi có, nhiều khả năng hacker này đã xây dựng thành công một mạng BOTNET khá mạnh ở Việt Nam"

Việc tấn công DDoS Việt Cơ được tiến hành theo trình tự: Hacker sử dụng một trojan cài lên website khiêu dâm www.giac... .com. Trojan này lợi dụng một lỗ hổng của trình duyệt IE - bất cứ máy tính nào chưa update lỗi IE này, khi truy nhập vào www.giac....com sẽ lập tức bị Trojan tự động cài vào máy, trở thành zoombie (zoombie - thây ma sống- chỉ các máy tính bị xâm nhập và có thể bị điều khiển từ xa cho mục đích tấn công.)

Sơ đồ hệ thống triển khai tấn công DDoS vào Vietco.com

Vào một thời điểm xác định, các máy tính zoombie khi đang online sẽ tự động truy nhập vào website http://www.geocities.../blsbhost/ do DantruongX đặt host từ trước. Trên site này hacker có đặt một file Blvb.txt ra lệnh cho các máy zoombie truy nhập với số lần cực lớn vào vietco.com. Mỗi lần phát động tấn công, tác giả chỉ cần thay đổi thông tin trỏ đến web "nạn nhân". Trên thực tế, thời gian qua "nạn nhân" các đợt tấn công DOS xuất phát từ đây không chỉ có Vietco.com mà còn có một số site trong ngành giáo dục và thương mại điện tử khác nữa.

Thông tin từ cơ quan điều tra cho biết, thậm chí ngay cả sau khi VietNamNet đưa tin Việt Cơ kêu cứu trước nguy cơ phá sản do bị tấn công DDoS, các cuộc tấn công của DantruongX vẫn diễn ra liên tiếp 1 tuần sau đó. Điều này trùng khớp với thông tin mà Trung tâm an ninh mạng VSEC ghi nhận được khi giúp đỡ miễn phí Việt Cơ nâng cấp server và chống chọi các đợt tấn công DDoS. VSEC cho hay, mặc dù sau khi nâng cấp website và có một số biện pháp chống đỡ, vietco.com đã sống lại, nhưng vẫn hứng chịu các đợt tấn công liên tục kéo dài hàng tuần sau.

Theo thông tin từ đơn vị phối hợp điều tra vụ việc: Nguyễn Thành C. còn có liên quan đến hoạt động làm giả thẻ ATM. Tuy nhiên sự việc này hiện đang được cơ quan điều tra tiến hành đấu tranh làm rõ và chưa đưa ra kết luận chính thức. Nguồn tin cũng cho hay, trong quá trình xây dựng mạng lưới BOTNET và tiến hành tấn công, Nguyễn Thành C. còn có sự phối hợp và giúp đỡ của một đối tượng khác cũng là thành viên nhóm hacker Bé yêu. VietNamNet sẽ tiếp tục cập nhật các thông tin tiếp theo đến bạn đọc.

Theo anh Phùng Minh Bảo - giám đốc công ty Việt Cơ (đơn vị chủ quản website TMDT Vietco.com), việc cơ quan điều tra lần đầu tiên tìm ra và có đầy đủ bằng chứng xác đáng về người tiến hành tấn công DDoS có trình độ cao trên mạng, là một thành công có ý nghĩa to lớn. Nó khẳng định sự nghiêm minh của pháp luật trên một trường mạng và cổ vũ cho nhiều đơn vị đang "phập phồng" làm TMĐT. "Điều này có ý nghĩa răn đe rất lớn đối với các hành vi sai trái trên mạng internet, vốn được coi là rất khó phát hiện và xử lý".

Nói về động cơ DDoS Việt Cơ, anh Bảo cho biết trước đây một thời gian Việt Cơ có mời C. về làm thiết kế web một thời gian, song do công việc không phù hợp nên C. đã chuyển chỗ làm. "Tuy nhiên trước và sau khi xảy ra những chuyện này, chúng tôi vẫn giữ mối quan hệ hết sức tốt đẹp" - Anh Bảo khẳng định và cho biết, trong quá trình Vietco bị DDoS anh còn liên hệ với C. và được cậu đưa cho một số... lời khuyên để chống DDoS.

Anh Bảo nhấn mạnh, anh hết sức bất ngờ về việc kết quả điều tra cuối cùng của C15 cho thấy C. là thủ phạm. Anh nói nếu đây là một vụ tay DDoSer này bị lợi dụng hoặc "đánh thuê" cho người khác, anh sẽ cố gắng đề nghị cơ quan công an làm rõ để khiếu nại nếu đủ điều kiện. Trong trường hợp là mục đích cá nhân của C. nhằm tạo danh tiếng thì anh sẽ không khiếu nại và mong rằng sự việc chỉ xử lý ở mức răn đe làm gương cho các hacker khác, chứ không bị xử lý quá nặng, làm ảnh hưởng đến cả tương lai của cậu ta.

Thế Phong

Thứ Bảy, 29/04/2006 07:58
31 👨 2.083
0 Bình luận
Sắp xếp theo