Vụ VCCorp bị tấn công: Phát hiện "mã độc" nhận lệnh từ bên ngoài

Thảo luận trong 'Thông Tin Công Nghệ' bắt đầu bởi Văn Quyết, 23/10/14.

  1. Văn Quyết

    Văn Quyết Nhà Báo (Báo Đời) Thành viên BQT

    Tham gia:
    25/1/14
    Bài viết:
    5,328
    Thích:
    154
    Ngày 22/10, Cục Cảnh sát phòng chống tội phạm sử dụng công nghệ cao (C50), Bộ Công an cho biết, đang tích cực phối hợp với các lực lượng chức năng triển khai các biện pháp kĩ thuật để làm rõ đối tượng tấn công làm tê liệt hàng loạt website thuộc hệ thống của Công ty cổ phần Truyền thông Việt Nam (VCCorp) và các website được hỗ trợ vận hành bởi đơn vị này.
    [​IMG]
    Được biết, đêm 12, rạng sáng 13/10, quản trị hệ thống trung tâm dữ liệu VDC phát hiện tình trạng các dịch vụ bị dừng trên hàng loạt máy chủ, một số máy chủ đã dừng hoạt động hoàn toàn, không thể truy cập do đã bị xóa dữ liệu trên ổ cứng. Theo số liệu thống kê: tổng số máy chủ bị chiếm quyền điều khiển và xóa dữ liệu là khoảng 900 máy, dẫn đến các dịch vụ trực tuyến được các công ty thuê đặt tại VDC, chủ yếu là của Công ty cổ phần Truyền thông Việt Nam (VC Corp) gồm có các trang nội dung: vtv, dantri, nguoilaodong, suckhoedoisong, vccorp, giadinh.net, sohagame, rongbay, enbac, mua chung, muare, sohapay, cafef, cafebiz, kenh14, afamily, soha.vn, linkhay, vneconomy bị ngưng trệ hoàn toàn.
    Đây là vụ việc tấn công hệ thống máy chủ quy mô lớn nhất từ trước đến nay, khiến hàng loạt trang tin, truyền hình trực tuyến, thương mại điện tử, cổng thanh toán trực tuyến lớn bị dừng hoạt động, gây hậu quả vô cùng nghiêm trọng.

    Đến sáng 18/10, VCC phát hiện trang dantri.com.vn và một số website khác của VCC tiếp tục bị tấn công vào máy chủ Web và máy chủ lưu trữ khiến các tên miền này bị trỏ về blog nhạy cảm có những thông tin không tốt về VCCrop. Xác minh ban đầu cho thấy đối tượng đã thay đổi được mã nguồn của website dantri.com.vn. Theo thống kê trung bình có khoảng hơn 6 triệu truy cập của người dùng đã không thể sử dụng các dịch vụ chạy trên các máy chủ này như tin tức, giao dịch trực tuyến,...
    Qua phân tích sơ bộ cho thấy, nhiều khả năng đối tượng đã chiếm được quyền điều khiển các máy chủ từ trước, chỉnh sửa mã nguồn hệ thống, sau đó toàn bộ hệ thống sẽ tự động thực hiện cuộc tấn công khi đến thời điểm định trước.

    Ngay sau khi sự cố xảy ra, CBCS Phòng 2, Cục C50 đã cử cán bộ phối hợp với VCCorp nắm tình hình và triển khai các giải pháp kĩ thuật nhằm khắc phục sự cố trên. Theo các cán bộ Cục C50 thì nguyên nhân của sự việc trên là do có một loại mã độc bị cài vào hệ thống máy chủ. Mã độc đó được nhận lệnh từ bên ngoài để thực hiện việc tấn công, xóa sạch dữ liệu trên hệ thống máy chủ bị nhiễm. Khi loại mã độc này có trong máy tính, không phần mềm diệt virus nào có thể phát hiện ra. Theo nhận định từ bộ phận kĩ thuật của VCCorp, đây có thể là hành động phá hoại có chủ đích từ bên ngoài.


    Nguồn: TTCN
     
     
  2. Bình Luận Bằng Facebook