Website VN trước đòn tấn công ồ ạt của hacker Trung Quốc

Nhiều website của các cá nhân, tổ chức tại VN hiện nay chưa thực sự quan tâm đến bảo mật, an toàn thông tin; còn quá nhiều lỗ hổng cơ bản... Đây thực sự là miếng mồi ngon cho các cuộc tấn công dồn dập của hacker Trung Quốc thời gian qua.

Website VN trước đòn tấn công ồ ạt của hacker Trung Quốc

Shares

Hacker Trung Quốc dồn dập tấn công mạng VN – Ảnh: chụp từ trang chủ của nhóm hacker 1937cn

Như PV đã thông tin, website 1937cn.net cho biết trong 2 ngày 30 và 31.5.2015 đã có hơn 1.200 website của VN và Philippines bị tấn công, trong đó có khoảng 1.000 website của VN.

Theo ông Trần Quang Chiến, Giám đốc Công ty CP VNIST (VNIST Corp), phụ trách website an ninh mạng securitydaily.net, thì 1937cn.net là trang web chính thức của nhóm hacker 1937cn nổi tiếng và mạnh nhất Trung Quốc (TQ). Đây là trang mạng được lập ra với mục đích kích động hacker TQ tấn công các website của VN và các quốc gia ở khu vực Biển Đông.

“Tin tặc đã khai thác nhiều lỗ hổng nguy hiểm trên các website, có những lỗ hổng rất cơ bản như SQL Injection, lỗ hổng do việc sử dụng không đúng cách; sử dụng bản đã cũ của plugin FCKEditor và sử dụng dịch vụ WebDAV. Đây là những lỗ hổng mà chính nhóm hacker này từng sử dụng để tấn công nhiều website của VN trong năm 2014”, ông Chiến nói.

‘Cướp vào nhà mới lo bảo vệ’

Ông Võ Đỗ Thắng, Giám đốc Trung tâm đào tạo an ninh mạng Athena (TP.HCM), nhận định: “Tầm quan trọng của cổng thông tin điện tử ngày càng nâng lên nhưng khả năng bảo mật thì lại rất kém, hầu như không có gì để phòng thủ. Điều này lý giải vì sao mỗi khi có đợt hacker tấn công là chúng ta bị thiệt hại hàng loạt”.

Theo ông Thắng, gần đây một số địa phương đã ký hợp đồng bảo mật, rà soát nguy cơ từ các lỗ hổng trên website để phát hiện những nguy cơ mất ATTT nhưng các tỉnh, thành thực hiện điều này còn rất ít vì không đủ kinh phí. Trong khi đó, “việc bảo mật cần phải làm thường xuyên, định kỳ chứ không phải khi nào gặp cướp vào nhà mới lo thuê nhân viên bảo vệ”.

Theo dõi sát các cuộc tấn công

Trao đổi với Thanh Niên chiều qua, ông Nguyễn Huy Dũng, Cục phó Cục An toàn thông tin (ATTT), Bộ Thông tin – Truyền thông (TT-TT), cho biết các đơn vị chức năng của Cục vẫn đang theo dõi sát các cuộc tấn công này. Con số chính thức các cuộc tấn công hiện nay, mỗi nơi thống kê một khác do cách tính toán.

Tuy nhiên, theo ông Dũng, có thể không đến 1.000 website, nhưng điều đó vào lúc này không quá quan trọng, bởi những lỗ hổng và thiệt hại của vụ việc mới là điều đáng quan tâm.

Đánh giá riêng về các vụ tấn công của 1937cn, ông Dũng cho biết mục tiêu của nhóm này đã được xác định nhằm vào website chứa nhiều thông tin quan trọng, đặc biệt các tên miền .gov.vn.

Trong hệ thống tên miền này bao gồm: Một là của các bộ, ngành và UBND các tỉnh cung cấp thông tin, dịch vụ công tới người dân và doanh nghiệp. Thời gian qua mức độ bảo mật, an toàn thông tin của hệ thống webstie này được quan tâm ở mức độ nhất định nên không đáng ngại lắm. Nhưng đối với nhóm website thứ hai, vẫn mang tên miền .gov.vn của các tổ chức chính trị – xã hội, theo ông Dũng có nhiều rủi ro, đáng ngại hơn.

“Phần lớn hệ thống bị tấn công vừa qua của nhóm 1973cn rơi vào các đối tượng này. Bản thân các tổ chức, đơn vị này không chuyên về công nghệ thông tin (CNTT) nên công tác bảo mật gặp nhiều khó khăn”, ông Dũng nói.

Lật lại hồ sơ, theo ông Dũng, các cuộc tấn công của hacker TQ thường diễn ra vào các đợt cao điểm sự kiện chính trị lớn, đặc biệt là khi tình hình căng thẳng trên Biển Đông. Hồi đầu tháng 5.2014, thời điểm TQ hạ đặt trái phép giàn khoan HD-981 vào vùng biển VN, nhóm hacker 1937cn đã tấn công hàng trăm website của VN. Nhóm này cũng tham gia vào vụ tấn công hơn 700 website của VN trong đợt nghỉ lễ Quốc khánh 2.9.2014.

Nên hạn chế các giao dịch nhạy cảm qua mạng

Trước khi hacker TQ tấn công ồ ạt vào website VN, một lỗ hổng an ninh nghiêm trọng vừa được phát hiện liên quan đến thuật toán tạo khóa chia sẻ an toàn, khiến người dùng khi truy cập các trang HTTPS, thường là các dịch vụ quan trọng như giao dịch ngân hàng, chứng khoán, mua sắm trực tuyến có thể bị tấn công, nghe lén.

Lỗ hổng Logjam tồn tại trong thuật toán trao đổi khóa sử dụng mã hóa Diffie-Hellman dùng để tạo khóa chia sẻ an toàn trong các giao thức bảo mật HTTPS, SSH, IPsec, SMTPS và các giao thức dựa trên TLS khác. Hacker có thể lợi dụng lỗ hổng để hạ cấp mã hóa kết nối từ 1024-bit xuống 512-bit, từ đó tấn công nghe lén Man-in-the-Middle.

Ước tính có khoảng 8,4% trong số 1 triệu tên miền HTTPS phổ biến chịu ảnh hưởng từ lỗ hổng. Các trình duyệt Safari, Firefox và Google Chrome – không bao gồm Internet Explorer – hiện chưa nhận được bản vá cho lỗ hổng. Ông Nguyễn Hồng Sơn, chuyên gia phụ trách mảng an ninh hệ thống của Bkav, cảnh báo: “Cho đến khi các nhà cung cấp đưa ra bản vá, người dùng nên hạn chế các giao dịch nhạy cảm qua mạng. Quản trị server cũng cần hủy tính năng hỗ trợ mã hóa DHE_EXPORT, cho phép hạ cấp mã hóa Diffie-Hellman”.

Phân tích kỹ hơn về cách thức hacker khai thác lỗ hổng thông qua FCKeditor, ông Trần Quang Chiến cho biết FCKeditor là một trình soạn thảo HTML mã nguồn mở theo kiểu WYSIWYG của CKSource. Chương trình này có thể tích hợp vào các website mà không cần cài đặt. CKEditor tương thích với hầu hết các trình duyệt internet và được sử dụng rất rộng rãi. Lỗi chủ yếu do các website đang dùng bản cũ và không xóa các form upload test mặc định có trong FCKeditor. Khi triển khai FCKeditor chưa cấu hình phân quyền thực mục, phân quyền thực thi trong các thư mục upload của Web Server. Kẻ tấn công có thể lợi dụng để upload các file với nội dung xấu lên website hoặc upload các webshell lên website nhằm chiếm quyền điều khiển website.

Theo ông Nguyễn Huy Dũng, trước mắt hacker chỉ tập trung vào các lỗ hổng cơ bản, do đó Cục ATTT khuyến cáo các tổ chức, cá nhân cần phải thường xuyên cập nhật phần mềm máy chủ, ứng dụng web, các bản vá của các hãng bảo mật uy tín. Bởi nếu để lỗ hổng cũ, hacker sẽ rất dễ dàng xâm nhập. Về mặt lâu dài, Bộ TT-TT đang xây dựng dự thảo luật ATTT và một số thông tư hướng dẫn phân định cấp độ ATTT.

Một số vụ tấn công điển hình

– Ngày 5.3.2013: Đại tá Trần Văn Hòa, Phó cục trưởng Cục Cảnh sát phòng chống tội phạm sử dụng công nghệ cao (Bộ Công an), bị hacker TQ tấn công thông qua email, nhằm âm thầm đánh cắp dữ liệu. Cuộc tấn công bị phát hiện và ngăn chặn kịp thời.

– Từ 30.4 – 1.5.2014: Có khoảng gần 150 website của VN bị tấn công, nhiều trang không thể truy cập được. Một số website còn nguyên các dòng chữ do hacker TQ để lại ngay trên trang chủ.

– Ngày 2.9.2014: Trang tin về bảo mật securitydaily.net (thuộc công ty chuyên về bảo mật, an ninh mạng MVS) cho biết trong dịp nghỉ lễ 2.9 đã có tổng cộng 745 website bao gồm cả tên miền phụ (subdomain) của VN bị hacker TQ tấn công.

– Ngày 20.5.2015: Hãng bảo mật Kaspersky phát hiện một nhóm người TQ tham gia hoạt động gián điệp mạng với mục tiêu là VN và nhiều nước quanh Biển Đông. Kaspersky vừa lập biểu đồ 5 năm hoạt động của một nhóm gián điệp mạng có tên Naikon. Nhóm này được Kaspersky phát hiện là người TQ, hoạt động gián điệp mạng nhắm đến các quốc gia xung quanh Biển Đông.

– Ngày 25.5.2015, Fire Eye – công ty bảo mật hàng đầu chuyên ngăn chặn các cuộc tấn công trình độ cao trên không gian mạng của Mỹ – công bố nhóm tin tặc APT 30 có trụ sở đặt tại TQ tấn công mạng VN suốt 10 năm.

Đất Việt là nơi tự do bày tỏ ý kiến, không có chế độ kiểm duyệt. Rất mong nhận được ý kiến của độc giả.