Vietnamnet liên tục bị tấn công

Rạng sáng ngày thứ bảy, 6/11/2010, tin tặc đã xâm nhập vào hệ thống  máy chủ của báo VietNamNet và xóa dữ liệu. Sau đó, vào 3h sáng ngày thứ hai, 22/11/2010, tin tặc tiếp tục xâm nhập vào hệ thống của báo VietNamNet theo hình thức tương tự, tiến hành phá hủy toàn bộ dữ liệu trên hệ thống gồm hàng chục máy chủ bằng cách xóa trắng (format) ổ cứng.

Ngay sau khi hệ thống máy chủ khôi phục trở lại, Tòa soạn VietNamNet và bộ phận kỹ thuật cũng đã  phối hợp với các cơ quan chức năng về phòng chống tội phạm công nghệ cao gồm C50 và an ninh thông tin A87 để thu thập bằng chứng, tiến hành truy tìm thủ phạm.

Vào sáng thứ hai ngày 6/12, kẻ tấn công tiếp tục thách thức cơ quan chức năng khi lấy trộm các tài khoản xuất bản để giả mạo tin tức của báo VietNamNet, thay một số bài bằng các nội dung mạo danh do hacker tạo ra . Bộ phận trực của VietNamNet đã phát hiện và ngay sau hơn 30 phút, các nội dung này đều đã được bộ phận kỹ thuật gỡ ra khỏi mạng.

Ngay sau khi biết tin báo VietNamNet bị hacker tấn công  rất nhiều đơn vị đối tác, đồng nghiệp và các công ty công nghệ đã trực tiếp liên hệ với Tòa soạn VietNamNet để chia sẻ, sẵn sàng hỗ trợ về mặt kỹ thuật, ứng cứu dữ liệu, đường truyền, máy chủ…

Trong vài ngày qua, báo VietNamNet đã phải hứng chịu một cuộc tấn công từ chối dịch vụ phân tán (DDOS) ở quy mô lớn chưa từng có tại Việt Nam, xuất phát từ một mạng lưới khổng lồ gồm hàng chục ngàn máy tính bị nhiễm virus. Bắt đầu từ cuối ngày 04/01/2011, lưu lượng truy cập vào trang chủ báo VietNamNet tại địa chỉ http://vietnamnet.vn tăng  nhanh một cách bất thường, lên tới hàng trăm ngàn kết nối tại một thời điểm.

Trên thực tế, báo VietNamNet đã từng bị tấn công DOS nhiều lần nhưng ở quy mô vài chục ngàn kết nối tại một thời điểm nên băng thông hệ thống và công suất các máy chủ vẫn có thể chịu đựng được. Trong cuộc tấn công DOS đang diễn ra, kẻ thủ ác đã thể hiện khả năng rất chuyên nghiệp khi huy động một mạng lưới botnet với lượng máy lên tới hàng chục ngàn máy tính.

Đôi nét về tấn công từ chối dịch vụ

Tấn công DOS có một vài phương thức khác nhau, nhưng đều giống ở đặc điểm là “dội bom” một lượng truy cập đồng thời và liên tục để khiến máy chủ website bị quá tải. Trong thế giới bảo mật, DOS được xem là một thủ đoạn cơ bản và chỉ tập trung vào mục tiêu phá hoại.

Hình thức DOS cổ điển là dùng một hệ thống máy chủ công suất lớn nhồi truy vấn liên tục vào mục tiêu gây tắc nghẽn, nhưng dễ bị ngăn chặn vì chỉ xuất phát từ một số địa chỉ IP cố định. Hình thức DOS ở cấp cao hơn là lợi dụng một website có lượng truy cập lớn, hacker chèn lén vào website một file flash (có thể ẩn trong một hình ảnh quảng cáo) để tất cả những người truy cập website đều vô tình tham gia vào việc tấn công DOS vào một website mục tiêu nào đó. Tuy nhiên, hình thức này cũng có thể hóa giải được nếu xác định được website đang bị cài lén để yêu cầu các ISP chặn truy cập vào website đó.

Hình thức DOS tinh vi nhất là sử dụng botnet, là một mạng lưới gồm rất nhiều các máy tính đã bị nhiễm virus ngầm chiếm quyền điều khiển (còn gọi là zombie hay máy tính thây ma). Virus ẩn trong máy sẽ nhận lệnh tấn công qua mạng và hacker có thể ấn định thời điểm, mục tiêu tấn công và “ra lệnh” cho đội quân botnet này tấn công theo ý mình. Đây chính là hình thức đang được hacker sử dụng để tấn công báo VietNamNet.

Hình thức tấn công DOS bằng botnet rất khó ngăn chặn vì các máy tính ở phân tán nhiều nơi, với vô số địa chỉ IP khác nhau nên nếu không truy tìm được máy chủ ra lệnh tấn công và điều khiển botnet thì không thể ngăn chặn hết được.

Quy mô lớn chưa từng có

Theo đánh giá của một chuyên gia hàng đầu về an ninh mạng tại Việt Nam, “đàn botnet” đang được sử dụng để tấn công báo VietNamNet có quy mô lớn chưa từng có tại Việt Nam, với số lượng trên 50.000 máy tính bị nhiễm virus. Để “chăn” được đàn botnet này phải là hacker chuyên nghiệp, tạo được virus có khả năng ẩn mình rất tốt để tránh bị các phần mềm diệt virus phát hiện, cũng như đã phát tán từ rất lâu để lên được số lượng lớn như vậy.

Nếu so sánh với cuộc tấn công vào hàng loạt website của chính phủ Mỹ và Hàn Quốc hồi tháng 7/2009, chuyên gia của US-CERT nhận định quy mô của mạng botnet cũng chỉ ở mức 40.000 đến 60.000 máy tính zombie. Nên sẽ không quá lời khi đánh giá vụ tấn công DOS đang nhằm vào VietNamNet không chỉ là chưa từng có ở Việt Nam, mà còn có thể so sánh với vụ tấn công DOS gây chấn động thế giới năm 2009.

Hiện tại, báo VietNamNet đang phối hợp với các cơ quan an ninh phòng chống tội phạm công nghệ cao, Trung tâm ứng cứu máy tính khẩn cấp VNCERT, các ISP trong nước và các đơn vị đối tác để khắc phục sự cố, ứng cứu về đường truyền, hạ tầng mạng... Tuy nhiên do quy mô rất lớn của cuộc tấn công nên độc giả vẫn sẽ gặp khó khăn khi truy cập vào đọc báo.

Trong lúc gặp sự cố, báo VietNamNet cũng vô cùng cảm kích khi nhận được rất nhiều sự hỗ trợ ứng cứu tự nguyện, chí tình từ các đơn vị đối tác như Zing, CMC Infosec, VTC để bạn đọc có thể truy cập vào  vietnamnet.vn trở lại.

Trong ngày đầu tiên của vụ tấn công từ chối dịch vụ (DDOS), trang chủ VietNamNet hầu  như không thể truy cập trong buổi chiều 4/1. Sau khi có sự ứng cứu từ Cổng thông tin Zing của VNG vào chiều 5/1, lượng truy cập vào http://vietnamnet.vnđã giảm bớt và có thể truy cập được để đọc báo, nhưng lập tức băng thông ứng cứu của Zing cũng bị nghẽn vì quá tải.

Đáng chú ý là chỉ sau khi triển khai ứng cứu khoảng 1 tiếng, luồng dữ liệu tấn công từ botnet đã chuyển một phần lớn sang tấn công trực tiếp vào địa chỉ IP của Zing. Một chuyên gia về bảo mật nhận định có 2 khả năng: Một là hệ thống điều khiển botnet có khả năng tự động cập nhật địa chỉ đích và ra lệnh cho botnet chuyển hướng tấn công sau khi website mục tiêu thực hiện điều hướng (redirect). Khả năng thứ hai là kẻ điều khiển vụ tấn công trực tiếp kiểm tra và bổ sung thêm mục tiêu là website của Zing để đo năng lực hạ tầng hoặc “dằn mặt”.

Đến đầu giờ chiều ngày 7/1, khi VTC triển khai ứng cứu thêm năng lực hạ tầng rất lớn, việc truy cập vào VietNamNet mới hết tình trạng bị chậm. Trong vòng 30 phút sau khi chuyển tải thêm sang VTC, dữ liệu DDOS đo được từ cả hai đơn vị ứng cứu băng thông cho VietNamNet đã lên tới mức đỉnh điểm là gấp 30 lần năng lực băng thông VietNamNet thường đáp ứng khi không bị tấn công.

Diễn biến phức tạp

Sau khi đạt mức tấn công đỉnh nhưng không đạt được kết quả làm tắc nghẽn hoạt động trang chủ vietnamnet.vn, thủ phạm đã chuyển hướng tấn công sang trực tiếp vào các sub-domain của vietnamnet.vn với hy vọng làm nghẽn hoạt động truy cập trực tiếp vào các địa chỉ này nhưng cũng không thành công vì cả 2 đơn vị Zing và VTC đều có hạ tầng và thiết bị đủ mạnh.

Việc thay đổi mục tiêu tấn công liên tục của mạng lưới botnet cũng khiến đội ngũ kỹ thuật của VietNamNet phải túc trực 24/24 để phối hợp với các đơn vị bạn, điều hướng truy cập liên tục để tránh luồng dữ liệu tấn công và đảm bảo hoạt động truy cập thông thường của độc giả. Tuy vậy, cũng không thể tránh khỏi một số trường hợp độc giả không truy cập được do chưa update được các thay đổi về phân giải tên miền (DNS) của VietNamNet.

Khắc phục các lỗi khi truy cập VietNamNet

Hiện tại độc giả có thể truy cập vào trang chủ VietNamNet thông qua địa chỉ chính là http://vietnamnet.vn. Nếu độc giả trong nước không truy cập được địa chỉ này thì có thể truy cập vào địa chỉ http://wwwz.vietnamnet.vn. Trong trường hợp độc giả đang ở nước ngoài và không truy cập được vào các domain này, có thể thử lại với tên miền http://www.vietnamnet.vnhoặc http://news.vietnamnet.vn.

Ngoài ra, khi tìm kiếm trên Google các tin bài cũ đã đăng trên VietNamNet, độc giả có thể gặp tình trạng bấm vào kết quả tìm kiếm thì không mở đến được bài viết cần tìm mà lại quay về trang chủ. Khi gặp trường hợp này, quý độc giả có thể lựa chọn mục “đã lưu trong bộ nhớ cache” (hoặc mục Cached) ở cuối mỗi kết quả tìm kiếm để sao chép (copy) đường link gốc đã được lưu.

Sau khi dán (paste) đường link này vào ô địa chỉ truy cập của trình duyệt web, quý độc giả chỉ cần xóa bớt phần sub-domain  (www. hoặc www77. www55….) để tên miền gốc trở về http://vietnamnet.vn/ và giữ nguyên phần sau là có thể truy cập trực tiếp vào tin bài cũ như bình thường.