Bkis đã được KrCERT - Tổ chức cứu hộ khẩn cấp sự cố máy tính của Hàn Quốc, đề nghị trợ giúp phân tích mã độc đã gây ra các cuộc tấn công từ chối dịch vụ (DDoS).
Theo đại diện của Bkis, có 166.908 máy tính từ 74 quốc gia trên toàn thế giới đã bị sử dụng cho các cuộc tấn công. Con số này cao hơn rất nhiều so với con số “vài chục nghìn” mà các công ty an ninh khác đã ước tính trước đó.
Số máy tính bị nhiễm lớn nhất nằm tại Hàn Quốc, theo sau là Trung Quốc, Nhật Bản, Canada, Úc, Philippines, New Zealand, Vương quốc Anh và Việt Nam.
Phân tích mã độc hại nhận được từ KrCERT, Bkis đã xác định được 8 máy chủ điều khiển hệ thống botnet (mạng máy tính ma). Bkis cũng đã xác định được địa chỉ IP của máy chủ gốc (master server) đặt tại Anh, nơi đã “tổng chỉ huy” tất cả các cuộc tấn công hồi tuần trước.
Trong một bài viết trên website của Bkis, Nguyễn Minh Đức, Giám đốc Bkis Security nói rằng, đây là lần đầu tiên có một báo cáo tìm ra sự xuất hiện của master server. Ủy ban Truyền thông quốc gia Hàn Quốc (KCC), đã dựa vào báo cáo của Bkis để đưa ra đề nghị cơ quan pháp luật có thẩm quyền phối hợp với chính phủ Anh quốc để xúc tiến các công việc tiếp theo.
Phát hiện này của Bkis có vài điểm khác biệt với các báo cáo của chính phủ Hàn Quốc về mã độc, các báo cáo đó cho rằng mã độc tự động hoạt động mà không cần nhận lệnh từ các server điều khiển. “Chúng tôi không chắc những kẻ tấn công có thực sự ở Anh hay không, hoặc có thể chúng đã hack một máy tính của Anh và sử dụng nó để điều khiển các cuộc tấn công”, một thành viên của Ủy ban Truyền thông quốc gia Hàn Quốc cho biết.
Cuộc tấn công DDoS kéo dài suốt một tuần đã khiến nhiều website tại Hàn Quốc và Mỹ bị tê liệt. Hàng loạt các truy vấn (request) liên tục được gửi đến các website này từ hàng chục ngàn máy tính ma. Trong số các website bị đánh sập trong tuần qua có cả website của Bộ Tài chính, Bộ Giao thông vận tải Mỹ, Ủy ban thương mại liên bang Mỹ, trang chủ của Tổng thống Hàn Quốc, Quốc hội Hàn Quốc và Lực lượng quân sự Mỹ tại Hàn Quốc.
Các máy tính được sử dụng để gửi hàng loạt truy vấn đã bị nhiễm một loại virus, khiến hacker có thể âm thầm sử dụng chúng để tấn công mục tiêu mà không bị phát giác. “Cứ 3 phút một lần, các máy tính bị nhiễm virus ngẫu nhiên chọn một trong 8 server để nhận lệnh điều khiển” - Ông Nguyễn Minh Đức, Giám đốc Bkis Security (thuộc Bkis) nói. Bkis cho biết họ đã kiểm soát được 2 trong số 8 server của các cuộc tấn công, nhờ đó đã tìm ra Server gốc (Master Server)nơi “tổng chỉ huy” tất cả các cuộc tấn công.
Master Server này chạy hệ điều hành Windows Server 2003 và có địa chỉ IP trong dải 195.90.118.x, ông Nguyễn Minh Đức nói. Địa chỉ này được đăng ký tại nhà cung cấp dịch vụ Global Digital Broadcast tại Vương quốc Anh.
Điều tra tiếp tục được mở rộng sang Miami, Florida (Mỹ)
Tổ chức cứu hộ khẩn cấp sự cố máy tính của Hàn Quốc (KrCERT) sáng nay đã thông báo với Bkis: dựa theo các kết quả điều tra của Bkis, cảnh sát Hàn Quốc đã phối hợp với Cơ quan điều tra về tội phạm nguy hiểm của Vương quốc Anh (U.K.'s Serious Organized Crime Agency - SOCA) để tiến hành điều tra nguồn gốc của Master Server (máy chủ gốc), nơi “tổng chỉ huy” các cuộc tấn công vào website của chính phủ Mỹ và Hàn Quốc tuần qua.
Tại Anh, một công ty có tên là Global Digital Broadcast (GDB) chuyên cung cấp dịch vụ IPTV (dịch vụ truyền hình Internet) đã được SOCA xác định là công ty quản lý dải địa chỉ IP server trong đó có địa chỉ 195.90.118.x của Master Server mà Bkis đã giúp KrCERT chỉ ra. SOCA đã tiến hành các bước điều tra với công ty này. Global Digital Broadcast khẳng định đúng là họ đang quản lý dải địa chỉ IP server này và hiện họ đã cho một đối tác là Công ty Digital Latin America (DLA), có trụ sở tại Miami, Florida (Mỹ) sử dụng. Công ty DLA chuyên làm công việc mã hóa các chương trình truyền hình tiếng La tinh thu từ vệ tinh và phát trên hệ thống IPTV.
Như vậy, công ty Global Digital Broadcast tại Anh quốc quản lý phần hệ thống của dải địa chỉ IP đang được điều tra và phần vật lý của hệ thống được quản lý bởi công ty DLA ở Miami. Quá trình điều tra theo đó được các cơ quan điều tra mở rộng sang Miami, Florida (Mỹ). Hiện Master Server đặt tại đây đã được cách ly để phục vụ điều tra. Kết quả điều tra tiếp theo sẽ phụ thuộc vào sự phối hợp giữa các cơ quan điều tra của Anh, Mỹ và Hàn Quốc.
Được biết, hiện tại Bkis vẫn đang tiếp tục trực chiến phối hợp với các đội cứu hộ của Hàn Quốc và Mỹ để giải quyết dứt điểm các vụ tấn công này
- 11/12/2009 01:31 - Lợi dụng Google rút tiền hàng nghìn người dùng
- 22/09/2009 15:48 - AMD sẽ phát hành chip 6 lõi cho PC
- 15/09/2009 08:35 - IBM cấm sử dụng Microsoft Office
- 31/07/2009 16:38 - Yahoo - Các mốc lịch sử trước cái bắt tay với người khổng lồ
- 30/07/2009 01:35 - Phát hiện mới về vụ tấn công website Mỹ, Hàn
- 12/07/2009 15:19 - Mã độc tấn công website Mỹ, Hàn “tự sát”
- 09/07/2009 16:10 - Một loạt trang web của Hàn Quốc bị đánh sập
- 24/06/2009 08:08 - Tòa án Ý hoãn xét xử 4 giám đốc Google
- 13/06/2009 02:42 - Bộ case của người Việt gây tiếng vang trên diễn đàn quốc tế
- 20/05/2009 16:54 - Google hối thúc người dùng.... tắt máy tính
