Skip to main content

1937cn tấn công Vietnam Airlines - Nhận định từ các chuyên gia bảo mật

1937cn-hack-Vietnam-Airlines

Bài viết này tổng hợp lại đánh giá từ các chuyên gia bảo mật có uy tín ở Việt Nam về vụ việc nhóm hacker 1937cn đến từ Trung Quốc tấn công vào hãng hàng không Vietnam Airlines.


Theo anh Nguyễn Hồng Phúc (a.k.a xnohat):

Thật sự tình hình sự vụ tấn công vào hệ thống của Vietnam Airlines là rất nghiêm trọng, hacker có thể ( chỉ là có thể ;) ) đã tấn công vào mức sâu nhất và kiểm soát được toàn bộ hệ thống. Do để kiểm soát được hệ thống phát thanh, màn hình cần phải vượt qua rất nhiều lớp bảo vệ, vốn các thành phần này đã được tăng cường bảo vệ sau vụ hack lần trước ngay trước đại hội đảng và show clip chửi một bác lãnh đạo.

Đội hacker 1937cn này vốn là một đội hacker bị nhiều công ty bảo mật cho là có liên hệ với chính phủ Trung Quốc, và có trình độ rất cao, tuy nhiên có phải thật sự là đội hacker này ra tay hay không thì cần điều tra thêm. Để thâm nhập vào ở mức độ này thì cuộc tấn công này không phải ngày một ngày hai mà có thể đã xảy ra một thời gian âm thầm, đúng chất của một cuộc tấn công chuyên nghiệp.

Đáng trách là các lãnh đạo có trách nhiệm của ngành hàng không đã không gia cố hệ thống đủ mạnh kể từ lần trước sân bay bị hack với tình trạng cũng như vầy.

Cuộc hack hôm nay đã cảnh báo tới tất cả chúng ta là các hệ thống trọng yếu của Việt Nam đang yếu ớt hơn nhiều chúng ta tưởng. Và các cuộc tấn công này có thể sẽ ảnh hưởng trực tiếp tới cuộc sống thậm chí sự sống của chúng ta nếu chúng ta không quan tâm đúng mức trong việc bảo vệ các hạ tầng mạng hạ tầng công nghệ trọng yếu của quốc gia.

Lời cuối, chúng tôi kêu gọi các Quản trị mạng, các System admin, các kỹ sư, hãy gia cố hệ thống, bật các IDS/IPS, các Firewall, cẩn trọng bảo vệ hệ thống trong những ngày này. Hiện tin tức về cuộc tấn công này đã lan ra khắp các trang báo lớn trên thế giới như New York Times, BBC ... đều đã đưa tin, điều này có thể kích động các nhóm Hacker Trung Quốc tăng cường tấn công trong cơn say máu này.

Các anh em hacker hãy cẩn trọng, cố gắng cảnh báo các quản trị mạng và ra tay tương trợ bảo vệ các hệ thống trọng yếu trong nước, điều đó cần hơn lúc này, chiến tranh mạng với TQ thì chúng ta sẽ thiệt hại đầu tiên. Phòng thủ trước đã rồi đợi gió đông rồi tính.

Các trang mạng
Các kênh truyền thông
Các hệ thống trọng yếu có kết nối mạng
Hãy cẩn trọng !

Update: theo thông tin mới nhận, confirm thông tin mức độ tấn công là cực kỳ cực kỳ cực kỳ nghiêm trọng !

Ngoài ra, anh Phúc cho biết thêm:

[ Một số thông tin nho nhỏ có thể public về vụ Vietnam Airlines bị hack ]

Nhóm thực hiện:
1937cN Team : được biết là nhóm của TQ, có nhiều thông tin là có liên quan chính phủ TQ, đã thực hiện nhiều cuộc tấn công vào các hạ tầng công nghệ của Việt Nam.

Timeline:
1. Pastebin account được tạo từ 4 ngày trước cuộc tấn công tức ngày 25.07.2016. Pastebin chỉ có đúng 2 notes liên quan tới duy nhất cuộc tấn công VNA
2. Pastebin liên quan tới link tải dữ liệu khách hàng của VNA
+ Được tạo ngày 27.07.2016 lúc 2h43p chiều
+ Chỉnh Sửa ngày 29.07.2016 lúc 2h00p chiều
Giờ Việt Nam
3. File XLSX được tạo ngày 25.03.2016, được save lần cuối ngày 29.07.2016 (ngày cuộc tấn công xảy ra, múi giờ không xác định được nhưng có vẻ ngay trước khi các màn hình tại nội bài hiện thông điệp của hacker). Có vẻ được tạo bởi thư viện Apache POI (https://poi.apache.org/) của hệ thống Business Management của Vietnam Airlines

Dựa trên các timeline trên chúng ta có thể thấy được rằng cuộc tấn công đã được chuẩn bị ít nhất là từ ngày 25.07.2016. Ngày 27.07.2016 việc hack có vẻ đã thành công tốt đẹp, hacker chui sâu để tiếp cận hệ thống quản lý nội bộ của Vietnam Airlines và đã tới giai đoạn thu thập dữ liệu, hacker đã tạo pastebin chứa các link tải file này. Ngày 29.07.2016 hacker lấy dữ liệu lần cuối và cập nhật link tải mới nhất gói dữ liệu khách hàng của VNA.

Sau đó thì như chúng ta đã biết lúc 4h chiều giờ Việt Nam ngày 29.07.2016 cuộc tấn công được công khai, chúng sỉ nhục Việt Nam bằng những lời mạt xát chủ quyền biển đảo của chúng ta ngay tại giữa thủ đô của chúng ta, tại nơi chúng ta tưởng rất an toàn theo một cách khiến chúng ta bất ngờ nhất !

Theo chú Hoàng Ngọc Diêu (a.k.a Conmale):

Xét về NGUYÊN TẮC bảo mật, hệ thống giao dịch của một phi trường (không kể đến phần quản lý không lưu) phải có 3 phần tách rời:
1. Internal private: phần này hoàn toàn tách biệt và chỉ có nhân viên của hàng không mới được quyền tiếp cận. Phần này chịu trách nhiệm kiểm soát và hình thành thông tin thông báo các chuyến bay, xử lý đặt vé, sắp xết check-in (qua kiosk hoặc online).
2. External private: đây là phần thông báo các chuyến bay, ngày giờ, địa điểm đi và đến..v.v.. Thông tin này được công bố rộng rãi trên các bảng thông báo tại phi trường và online. Khách chỉ có quyền đọc (hoặc có thêm chức năng tìm kiếm theo số chuyến bay online) và hoàn toàn không có quyền input / thay đổi bất cứ thông tin nào.
3. External public: đây là phần cho phép khách tương tác trong chuyện đặt vé, check-in và các giao dịch trực tiếp liên quan đến vấn đề đi lại ở phi trường. Sự tương tác ở khu vực này phải được kiểm soát chặt chẽ và hoàn toàn tách rời với khu vực 1 ở trên.

Tình trạng hệ thống thông báo tại phi trường ở Việt Nam bị xâm nhập vừa chứng tỏ 2 khả năng:
a. Hệ thống giao dịch của phi trường ở VN không tách rời như trên mà chỉ có một lớp chung và bị xâm nhập ở một điểm nào dó trong lớp chung ấy.
b. Hệ thống giao dịch của phi trường ở VN có tách rời ra như trên nhưng phần "internal private" bi xâm nhập cho nên mới có thể thay đổi thông tin ở vùng "external private".

Theo chú Phạm Thắng Nam:

ĐÔi ĐIỀU THÚ VỊ BÀN THÊM VỀ FILE "vietnams golden lotus"

Tìm hiểu sâu thêm về File "vietnams golden lotus" chúng ta lại thấy có thêm một số điểm sau đây:
1- Chúng ta bước đầu xác đinh là File "vietnams golden lotus" nói trên đươc content created vào ngày 25/3/2016. Điều này cũng phù hợp với nội dung của cột (column) "Z" (TIER_START-DATE) trong nôi dung file Excel này.
Trong cột TIER_START_DATE thì hầu hết là năm 2015, chỉ có một số thành viên golden lotus có TIER_START_DATE muộn nhất là đầu tháng 3-2016. Như vậy File "vietnams golden lotus" mà hacker cung cấp không chứa toàn bộ thành viên hiện tại của "golden lotus" thuộc Vietnam Airlines (thiếu một số).
2- File định dang EXCEL "vietnams golden lotus" nguyên thủy nằm trên một hay 1 vài server của Vietnam Airlines (rôi sau đó hacker 1937CN TEAM hack đươc) không đươc thiết lập trực tiếp từ Excel của MS Office, mà nó đươc thiết lập thông qua "Apache POI".

Apache POI là một application (soft.) do Apache biên soạn. Nó đươc tích hợp với (hay gọi là chạy trong môi trường) Java, thường là Java SE 2 JDK 1.5 hay mới hơn. Apache POI còn đươc coi là một thư viện đầy hiệu quả của Java (powerful Java library).

Apache POI có thể chạy trên nền Windows (từ Win XP SP3 trở lên) hay Linux. Trường hợp của Vietnam Airlines có lẽ là chạy trên nền Windows 2K8 gì đấy?

Trên file Excel "vietnams golden lotus" thì passwords của các thành viên đươc ghi đủ, nhưng đia chỉ email của họ được giấu với các ký tự xxxx. (Trong thưc tế Password thường được đổi bởi user, còn đia chỉ email ít khi đổi).

Có thể các địa chỉ email đã đươc cố ý giấu, bằng cách config. Apache POI một cách phù hợp (Vietnam Airlines đã config.). Chứ không phải là hacker 1937CN TEAM có ý làm vậy vì "hữu hảo" với nạn nhân, như một số báo VN đã đăng tải.

Có thể 1937 CN Hacker chưa vào sâu đươc hệ thống, làm chủ được Apache POI và các soft. liên quan, để biết đươc các ký tự ẩn (xxxx) của các địa chỉ email.

Tuy nhiên việc này cần thời gian tìm hiểu kỹ hơn (về Apache POI và soft. liên quan) để xác định dự đoán trên là đúng hay sai thế nào?.

Nhưng dù thế nào thì các thành viên "vietnams golden lotus" vẫn nên thay ngay password để bảo mật.

Thông tin thêm:

Về tập tin "vietnams golden lotus".

Tập tin này đươc hacker TQ (1937CN Team) upload tai 3 servers, địa chỉ như sau:
http://www.mediafire.com/…/69…/vietnam%27s+golden+lotus.xlsx
https://uploadfiles.io/fa558
http://www.filedropper.com/vietnamgoldenlotus

Việc hacker upload tập tin lên 3 đia chỉ nói trên đươc 1937CN Team thông báo trên pastebin.com, ngày 29-7-2016 (cùng ngày hack vào website của VietnamAirlines và mạng máy tính sân bay Nội bài, TSN), tại địa chỉ:
http://pastebin.com/SKc1j5PC

Có vài điểm cần chú ý:
1- File "vietnams golden lotus" có định dạng ".xlsx". Định dạng này sử dung cho MS Office từ 2007 đến nay.
2- File này đươc thiết lập (Content created) từ ngày 25-3-2016. Như vậy hacker đã hack đươc file này từ lâu và không nhất thiết phải hack từ server VietnamAirlines.com.
(Hacker không hack lấy file vào ngày 29-7-2016)
3- Kiểm tra trưc tiếp file với Avira, McAfee và Kaspersky (phiên bản Enterprise hoăc xịn nhất) không phát hiện virus
4- Kiểm tra trên VIRUSTOTAL (với 53 trình diệt virus). Không Antivirus program nào phát hiện virus.
5- Có thông tin trên báo cho rằng nếu dùng MS Office bản crack để mở file "vietnams golden lotus" sẽ bị nhiễm virus. Lập luận này không đúng. Dùng các bản Office crack và sau đó thường xuyên activated, thì có thể download đủ các bản vá lỗi của MS Office.
6- Có báo đưa thông tin File này có lỗi 0-day (0-day vulnerability). Điều này không chắc chắn và không có căn cứ gì cả. Chẳng lẽ các 1937CN Team giỏi đến mức phát hiên các lỗi 0-day của Office?
7- Chú ý thêm: Hacker vẫn không chiếm đươc quyền sở hữu tên miền "vietnamairlines.com" (TLD). Nó chỉ redirecting trang chủ của Vietnam airlines đến một site khác và defaced được website mà thôi.

Gơi ý. Để chống lại 1937CN TEAM trước hết cần tìm hiểu kỹ về server chứa website 1937cn.net: IP, vị trí địa lý, DNS servers, mailsever phục vụ, server chạy HĐH gì, cài các application gì, hiện đang mắc các lỗi gì....

Theo anh Dương Ngọc Thái (a.k.a Thaidn):

Chúng tôi không ngạc nhiên khi hacker Trung Quốc (và có thể nhiều nước khác) dễ dàng “ra vô như đi chợ" hệ thống mạng của các cơ quan chính phủ Việt Nam. Phương thức tấn công nhúng mã độc vào các tệp văn bản rồi gửi đến hộp thư điện tử của nạn nhân (spear phishing) rất đơn giản nhưng cũng cực kỳ hiệu quả, đơn giản vì đại đa số máy tính ở Việt Nam cài đặt sử dụng phần mềm không rõ nguồn gốc hoặc không được cập nhật thường xuyên và đại đa số người dân thiếu những kiến thức cơ bản về an toàn thông tin.

Theo thống kê của hãng phần mềm Microsoft, từ năm 2011 đến nay Việt Nam luôn nằm trong nhóm các quốc gia có tỉ lệ nhiễm mã độc cao nhất thế giới. Nếu như quý 1 năm 2015, tỉ lệ các máy tính đã từng ít nhất một lần chạm trán mã độc ở Việt Nam chỉ là 37.1% thì đến quý 4 năm 2015, tỉ lệ này đã là 50.7%. Ngoài ra nếu như trong trong quý 1 năm 2015, cứ 1000 máy tính thì ít nhất 30 máy tính đã từng bị nhiễm mã độc thì cho đến quý 4 năm 2015 tỉ lệ này đã tăng lên 40/1000. Đây là một quả bom nổ chậm cần phải được tháo ngòi càng sớm càng tốt nếu muốn đảm bảo an ninh quốc gia và an toàn ổn định xã hội.
Các bạn có thể đọc bài viết đầy đủ của anh Thái tại đây!

Trang chủ của Vietnam Airlines đã bị hack như thế nào?

Theo Juno_okyo, 1937cn đã sử dụng phương thức DNS Hijacking - là phương thức tấn công mà nhóm này đã sử dụng vào tháng 8/2013 để thay đổi giao diện của thegioididong.com và facebook.com.vn

facebook-dns-hijacking-1937cn

thegioididong-dns-hijacking-1937cn
Tại sao tôi nhận định như vậy? Hãy xem sơ đồ phân tích DNS của vietnamairlines.com:
vietnam-airlines-dns-hijacking-by-1937cn

Một bài viết liên quan (bài đăng cuối năm 2013, sau thời điểm 1937cn tấn công vào Thế Giới Di Động và Facebook VN):
Bài viết sẽ được cập nhật thêm khi có thêm thông tin.

Share this with your friends
Loading...