Chiều 29/7, website chính thức của Hãng hàng không quốc gia Việt Nam (Vietnam Airlines) bị nhóm hacker đến từ Trung Quốc 1937cn tấn công thay đổi hoàn toàn giao diện trang chủ. Đồng thời các màn hình thông tin thông báo chuyến bay ở hai sân bay Nội Bài và Tân Sơn Nhất bất ngờ đồng loạt đăng tải những hàng chữ Trung Quốc với nội dung xuyên tạc về tình hình biển Đông. Không lâu sau đó, website của Liên đoàn bóng đá Việt Nam (VFF) cũng bị tấn công.

hack_vietnam_airlines_0130_slvo.jpg

Website Vietnam Airlines bị hack

Phóng viên đã phỏng vấn ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách an ninh mạng BKAV về mức độ nguy hiểm của cuộc tấn công này.

-  Thưa ông, nhóm hacker Trung Quốc 1937cn đã tấn công như thế nào? Chúng có thâm nhập sâu vào hệ thống của Vietnam Airlines và hai sân bay kể trên không?

Việc website bị deface và hệ thống âm thanh, màn hình thông báo tại nhà ga bị chiếm quyền cho thấy hacker đã xâm nhập được sâu vào hệ thống. Khả năng lớn là máy quản trị viên đã bị kiểm soát, theo dõi bởi phần mềm gián điệp (spyware).

Đây là cách thức tấn công không mới, thông thường các phần mềm gián điệp này lợi dụng lỗ hổng an ninh trong file văn bản (Word, Excel, Power Point) để phát tán. Các phần mềm gián điệp này không phải là những virus lây nhiễm một cách ngẫu nhiên vào hệ thống mà được phát tán một cách có chủ đích".

Một kịch bản tấn công đơn giản thường được những kẻ đứng đằng sau mạng lưới ngầm này sử dụng để phát tán phần mềm gián điệp là gửi email đính kèm các file văn bản với nội dung là một văn bản có thật của nơi bị tấn công, địa chỉ email là có thật, mở file ra thì đúng là có nội dung có thật nhưng đồng thời lại bị nhiễm virus do trong file có chứa sẵn phần mềm gián điệp.

 Khi các file văn bản này được mở ra, phần mềm gián điệp sẽ xâm nhập, kiểm soát máy tính. Chúng ẩn náu bằng cách giả dạng các phần mềm phổ biến như Windows Update, Adobe Flash, Bộ gõ Unikey, Từ điển…

Chúng chỉ hoạt động khi có lệnh của những kẻ điều khiển chúng nên rất khó phát hiện. Các mã độc này âm thầm đánh cắp thông tin… gửi về máy chủ điều khiển, đồng thời thông qua máy chủ điều khiển, chúng nhận lệnh để thực hiện các hành vi phá hoại khác.

-  Ông đánh giá thế nào về mức độ nguy hiểm cuộc tấn công này?

Với cách thức tấn công như thế, hacker có thể kiểm soát, theo dõi toàn bộ thông tin hệ thống bên trong. Nghĩa là khi mã độc lây nhiễm vào máy quản trị, nơi chứa đựng thông tin truy cập vào hệ thống sever, hacker có thể chiếm đươc quyền điều khiển, truy cập dữ liệu của tất cả các thông tin khác.

Việc tấn công như vậy, tùy thuộc vào các cấu hình, cách quản lý nội bộ bên trong, mức độ thâm nhập có độ sâu khác nhau. Ví dụ, hacker chiếm quyền điều khiển của quản trị nhưng máy tính sever bên trong chỉ quản lý bằng user name và mật khẩu, nó sẽ ghi lại được dữ liệu đó dùng để truy cập vào tất cả các sever.

Nếu một số sever quan trọng có thêm những biện pháp an toàn khác như thẻ truy cập hoặc thiết bị token truy cập thì hacker không thể thâm nhập được vào các sever đó. Tất cả còn tùy thuộc vào dịch vụ và cấu hình khác nhau.

- Liệu hacker có thể thay đổi được lịch trình hay kiểm soát không lưu, từ đó gây ra những vụ tai nạn thảm khốc không?

Cái đó không loại trừ nhưng không thể khẳng định được vì chuyện đó còn phụ thuộc vào hệ thống bên trong. Tôi phải kiểm tra trực tiếp mới có thể kết luận được.

Tôi cần xem phần kết nối thông tin được liên kết với nhau như thế nào. Các cơ quan chức năng và Vietnam Airlines cần trả lời câu hỏi này.

- Ông có dự báo gì vể các cuộc tấn công tiếp theo với mục tiêu và quy mô ra sao?

Như chúng tôi đã từng cảnh báo, các phần mền gián điệp đã và đang tấn công vào các cơ quan trọng yếu, các cơ quan Chính phủ, các tổng công ty lớn.  Không phải bây giờ mới có. Tình trạng này đã xảy ra từ năm 2001, 2002. Đã có nhiều thông tin ghi nhận được các vụ tấn công.

Hiện nay, các vụ tấn công vẫn âm thầm diễn ra từng ngày, từng giờ. Vấn đề là chúng có công khai cung cấp thông tin hay không thôi. Vì vậy, các đơn vị cần nhận thức tầm quan trọng của bảo mật, phải tăng cường rà soát, đảm bảo các hệ thống quan trọng.

-  Thông tin của hơn 400.000 khách hàng đã bị lộ. Đa phần các thông tin này liên quan đến việc mua bán online và thanh toán qua Internet Banking. Liệu nhóm hacker này có tấn công sang  ngân hàng không?

Điều này còn phụ thuộc vào chuyện thông tin trên hệ thống Vietnam Airlines lưu đến đâu. Về nguyên tắc, thông tin trên thẻ tín dụng sẽ không lưu ở đơn vị bán hàng như Vietnam Airlines. Đây chỉ là trung  gian.

Theo tôi được biết, hệ thống mua vé máy bay trực tuyến được chuyển sang trang khác, hệ thống đặt vé khác. Nếu tuân thủ đúng các quy trình thanh toán thẻ, có thể sẽ không có vấn đề gì. Nhưng để khẳng định, chúng tôi cần kiểm tra sâu hơn về hệ thống lưu trữ, thông tin đặt vé. Vì thế, thời gian này chưa kết luận được.

-  Theo thông tin trên website của Vietnam Airlines, nhóm hacker Trung Quốc 1937cn tự nhận đã gây ra vụ tấn công. Thông tin này có đáng tin cậy không thưa ông?

Theo thông tin để lại trên website Vietnam Airlines, thì thủ phạm là nhóm hacker Trung Quốc 1937cn. Tuy nhiên, thông tin về chứng cứ trên mạng có độ tương đối. Bất cứ ai thực hiện được cuộc tấn công này cũng có thể đưa bất cứ thông tin nào lên. Thậm chí, họ có thể tự nhận mình là hacker đến từ Nga hay Thổ Nhĩ Kỳ.  Đây là thông tin rất khó xác thực.

Nếu dựa trên thông tin để lại, có dấu hiệu cho thấy đây là nhóm hacker đến từ Trung Quốc nhưng vẫn không khẳng định được. Nhóm này chủ yếu tấn công giao diện website. Trước đây, nhóm hacker này có liên quan đến nhiều vụ tấn công an ninh mạng ở cả Việt Nam và thế giới.

Các màn hình thông báo ở sân bay Nội Bài chiều nay đã tắt. Hành khách dồn ứ vì chưa thể làm được thủ tục bay.
-  Có hay không bằng chứng Chính phủ nước ngoài đứng sau nhóm hacker này thưa ông?

Nói riêng về vụ tấn công này, tôi tin chắc vụ tấn công đã được chuẩn bị kĩ lưỡng, có tổ chức. Để thực hiện được cuộc tấn công nguy hiểm như vậy, chắc chắn hacker phải  có thời gian dài để thâm nhập, tìm hiểu thông tin và tấn công hệ thống. Đây là vụ tấn công có chủ đích, có kế hoạch tỉ mỉ.

Bây giờ, xuất hiện xu hướng xung đột mạng của nhiều nhóm trên thế giới. Bên cạnh đó, còn hình thành xu hướng xung đột mạng trên quy mô lớn, được điều hành bởi một tổ chức, thậm chí cơ quan Chính phủ.

Tuy nhiên, về mặt truyền thông, không ai, không Chính phủ nào thừa nhận mình hậu thuẫn cho các nhóm hacker. Nhưng thực tế cho thấy có những tổ chức nhận được sự hẫu thuẫn từ các cơ quan lớn.

-  Theo ông, các đơn vị cần làm gì để tránh hoặc để giảm thiểu tác hại của những cuộc tấn công tương tự?

Những vụ tấn công như thế này là vấn đề chung cả các tổ chức trên toàn thế giới. Ngay cả Bộ Quốc phòng Mỹ hay Quốc hội Đức cũng bị tấn công. Vì vậy, việc các đơn vị cần làm là phải rà soát, đầu tư bài bản, đúng và chuyên nghiệp để giảm thiểu rủi ro. Có một điều không ai đảm bảo đầu tư có thể giúp đơn vị tránh 100% các vụ tấn công. Nó chỉ giúp giảm thiểu.

Theo tôi, các đơn vị nên dành 5%-10% tổng đầu tư công nghệ dành cho đầu tư an ninh mạng. Cần phải có đơn vị chuyên nghiệp trong an ninh mạng cung cấp, tư vấn giải pháp./.