Bkav: Máy quản trị viên Vietnam Airlines có thể đã bị cài phần mềm gián điệp

Chiều ngày 29/7/2016, trang web chính thức của Vietnam Airlines đã bị tin tặc tấn công thay đổi giao diện, bị chuyển sang trang mạng xấu ở nước ngoài (Ảnh chụp màn hình giao diện website www.vietnamairlines.com vào khoảng 17h ngày 29/7 do một độc giả  ICTnews cung cấp)

Như ICTnews đã thông tin, chiều ngày 29/7/2016, ngày 29/7/2016 đã xảy ra sự cố tấn công thay đổi giao diện website và các hệ thống thông tin thuộc sự quản lý của Tổng Công ty Hàng không Việt Nam (Vietnam Airlines) cùng một số đơn vị liên quan khác bị tấn công, xảy ra sự cố.

Cụ thể, theo thông báo chính thức đầu tiên về vụ việc được Vietnam Airlines công bố vào tối ngày 29/7, hãng này cũng cho biết vào khoảng 16h ngày 29/7/2016 trang web chính thức của Vietnam Airlines tại địa chỉ www.vietnamairlines.com đã bị hacker chiếm quyền kiểm soát và chuyển sang trạng mạng xấu ở nước ngoài. Cùng thời điểm chiều ngày 29/7, thông tin phản ánh từ hành khách của Vietnam Airlines và các chuyên gia an ninh mạng cho hay, các màn hình thông tin thông báo chuyến bay ở hai sân Nội Bài và Tân Sơn Nhất bất ngờ đồng loạt đăng tải những hàng chữ Trung Quốc với nội dung xuyên tạc về tình hình biển Đông.

Đến 17h10 ngày 29/7/2016, trang web của Vietnam Airlines đã được khôi phục, có thể truy cập lại bình thường. Tuy nhiên, theo chuyên gia an ninh mạng, một lượng dữ liệu khoảng hơn 90 Mb đã bị các tin tặc phát tán trên mạng, trong đó có một bảng danh sách ước tính hơn 400.000 tài khoản của những hội viên Vietnam Airlines với đầy đủ thông tin như ngày gia nhập, điểm tích lũy, ngày hết hạn...

Vietnam Airlines cũng đã xác nhận dữ liệu của một số hội viên khách hàng thường xuyên của hãng đã bị công bố. Bên cạnh việc đăng tải trên website vietnamairlines.com thông tin đề nghị các khách hàng là hội viên Chương trình Bông sen vàng thay đổi ngay mật khẩu của tài khoản sau khi hệ thống được khắc phục, trong ngày 30/7, Vietnam Airlines cũng đã gửi  email tới các khách hàng này thông điệp bảo vệ tài khoản cá nhân trên hệ thống của hãng.

Nhận định về sự cố xảy ra với hệ thống thông tin của Vietnam Airlines vào chiều ngày 29/7 vừa qua, ông Ngô Tuấn Anh, Phó chủ tịch phụ trách an ninh mạng Bkav cho biết: “Việc website bị thay đổi giao diện (deface) và hệ thống âm thanh, màn hình thông báo tại nhà ga bị chiếm quyền cho thấy hacker đã xâm nhập được sâu vào hệ thống. Khả năng lớn là máy quản trị viên đã bị kiểm soát, theo dõi bởi phần mềm gián điệp (spyware). Đây là cách thức tấn công không mới, thông thường các phần mềm gián điệp này lợi dụng lỗ hổng an ninh trong file văn bản (Word, Excel, Power Point) để phát tán. Các phần mềm gián điệp này không phải là những virus lây nhiễm một cách ngẫu nhiên vào hệ thống mà được phát tán một cách có chủ đích”.

Trao đổi thêm với ICTnews về nhận định máy quản trị viên hệ thống của Vietnam Airlines có khả năng đã bị hacker cài phần mềm gián điệp, ông Ngô Tuấn Anh giải thích, tấn công deface là loại tấn công mà hacker làm thay đổi nội dung trên giao diện của website của nạn nhân. Hacker có thể thực hiện tấn công deface theo 2 cách, thứ nhất là thay đổi dữ liệu, nội dung thông tin trên giao diện website trực tiếp trên server chạy website đó; và cách thứ hai  là chuyển hướng tên miền của website  sang một địa điểm, một trang web khác chứa nội dung sai lệch.

Trong vụ hacker tấn công vào hệ thống thông  tin của Vietnam Airlines vừa qua, trang web của hãng đã bị hacker tấn công deface theo cách thứ hai. Nghĩa là, bình thường tên miền website vietnamairlines.com được trỏ vào địa chỉ sever của Vietnam Airlines; nhưng chiều ngày 29/7/2016, tên miền trang web này đã bị trỏ đến một máy chủ khác của  hacker, do đó khi người dùng truy cập vào trang vietnamairlines.com, nội dung thông tin hiển thị trên giao diện lại là một trang mạng xấu ở nước ngoài. “Việc quản trị tên miền phải thực hiện thông qua tài khoản quản trị tên miền đó. Mà thông thường tài khoản quản trị tên miền là do quản trị viên của hệ thống nắm. Từ sự việc này, chúng tôi mới đưa ra nhận định về khả năng quản trị viên hệ thống Vietnam Airlines đã mất tài khoản quản trị tên miền, máy của quản trị viên hệ thống có vấn đề”, ông Tuấn Anh lý giải.

Vị Phó Chủ tịch phụ trách an ninh mạng của Bkav cũng cho biết, một kịch bản tấn công đơn giản thường được những kẻ đứng đằng sau mạng lưới ngầm này sử dụng để phát tán phần mềm gián điệp là gửi email đính kèm các file văn bản với nội dung là một văn bản có thật của nơi bị tấn công, địa chỉ email là có thật, mở file ra thì đúng là có nội dung có thật nhưng đồng thời lại bị nhiễm virus do trong file có chứa sẵn phần mềm gián điệp.

Khi các file văn bản này được mở ra, phần mềm gián điệp sẽ xâm nhập, kiểm soát máy tính. Chúng ẩn náu bằng cách giả dạng các phần mềm phổ biến như Windows Update, Adobe Flash, Bộ gõ Unikey, Từ điển… Chúng chỉ hoạt động khi có lệnh của những kẻ điều khiển chúng nên rất khó phát hiện. Các mã độc này âm thầm đánh cắp thông tin… gửi về máy chủ điều khiển, đồng thời thông qua máy chủ điều khiển, chúng nhận lệnh để thực hiện các hành vi phá hoại khác.

Ông Tuấn Anh cho biết thêm: “Cụ thể trong vụ việc này, thông qua các máy tính đã bị mã độc kiểm soát, hacker có thể cấu hình thay đổi tên miền của website để trỏ về trang web giả mạo, cấu hình thay đổi thông tin hiển thị trên màn hình và nội dung trên hệ thống loa phát thanh thông báo…”.

Theo chia sẻ của ông Tuấn Anh, trong những năm qua, Bkav đã nhiều lần cảnh báo về phần mềm gián điệp tại Việt Nam. Đơn cử như, trong năm 2013, Bkav đã cảnh báo và phân tích 2 lỗ hổng MS13-051 và MS12-027 trên phần mềm Microsoft Word là 2 “vũ khí” được tin tặc sử dụng trong chiến dịch phần mềm gián điệp hoành hành tại Việt Nam. Lỗ hổng MS13-051 tồn tại trong cơ chế xử lý ảnh PNG của Microsoft Office 2003 đã bị hacker âm thầm khai thác từ năm 2009, và trong suốt 4 năm 2009 - 2013, nhiều người dùng tại Việt Nam có thể đã trở thành nạn nhân của tội phạm mạng mà không hề hay biết.