Giới an ninh mạng gọi hình thái tấn công từ chối dịch vụ (DDOS) là “quái thú” bởi những thuộc tính tàn độc của phương thức tấn công này. Kiểu đánh DDOS làm nạn nhân lâm vào tình trạng để bị đánh cũng “chết”, mà đầu tư lớn mua thêm “áo giáp” để chống đỡ cũng... “chết” tiền. VietnamNet đã may hơn khi đang có sự hỗ trợ từ hai đại gia về hạ tầng mạng là VNG và VTC.
Màn khởi động
Thông thường, khi bắt đầu tấn công DDOS vào một mục tiêu nào đó, tin tặc phải đánh thức mạng botnet mà hắn đã gây dựng trước đó, bởi mã độc mà tin tặc đã cài vào máy tính của người dùng từ trước, dù cố ngủ yên trong thời gian dài, nhưng vẫn có thể bị phần mềm diệt virus loại bỏ. Do vậy, việc đánh thức đội quân “thây ma” này (zombies) thường đi kèm với một liều thuốc thử: Tấn công thử một trang web nào đó trước khi mở chiến dịch thật. Một sự kiện ít được chú ý là ngày 3.1 - trước khi VietnamNet bị tấn công hơn 1 ngày - trang thongtincongnghe.com đã bị DDOS trong gần 48 giờ và bị tê liệt hoàn toàn bởi khoảng 50 nghìn kết nối từ các zombies.
Đến khi VietnamNet bị DDOS từ ngày 4.1 thì cũng là lúc trangthongtincongnghe.com được sống lại, không còn là mục tiêu của tin tặc nữa. Dù chưa thể khẳng định mối liên quan của hai cuộc tấn công này, nhưng nhìn về quy mô và thời điểm thì có thể không loại trừ khả năng một tác giả cho cả hai vụ DDOS này.
“Truy sát”
Quy mô lớn, liên tục, kéo dài, số lượng “thây ma” ổn định, liên tục chuyển hướng tấn công theo phản ứng chống đỡ của nạn nhân là những đặc tính chủ yếu về chiến dịch DDOS nhằm vào VietnamNet. Theo thông tin từ báo điện tử này, có ít nhất 300 nghìn địa chỉ mạng (IP) phân bố rải rác khắp nơi và từ tất cả các nhà cung cấp dịch vụ Internet (ISP) ở Việt Nam tấn công vào VietnamNet. Chưa hết, số lượng IP tại mỗi thời điểm tấn công không lặp lại.
“Chúng tôi chưa có thống kê cụ thể, nhưng tỉ lệ thay mới các dải IP tấn công vào VietnamNet là khoảng 20 – 30%” – ông Bùi Bình Minh - trợ lý Tổng Biên tập VietnamNet cho biết. Mức độ ổn định của các luồng tấn công gây rất nhiều khó khăn cho đội kỹ thuật của báo điện tử này. “Số lượng zombies có suy giảm vào ban đêm (thời điểm người dùng tắt máy – PV), nhưng lại tăng cao vào ban ngày. Ở lúc cao điểm, chúng tôi chuyển 1/8 lưu lượng tấn công sang một hệ thống khác nhờ xử lý giúp, nhưng băng thông 2Gbps của hệ thống này lập tức bị nghẽn” – một chuyên gia bảo mật tham gia ứng cứu cùng VietnamNet cho biết (băng thông của VietnamNet được coi là “khủng” cũng mới lên đến 1Gbps – PV).
Kịch bản tấn công
Hiện thủ phạm vẫn biệt tích và trong khi chờ đợi cơ quan điều tra làm rõ, có quá nhiều giả thuyết được đưa ra. Một luồng ý kiến cho rằng, kẻ tấn công áp dụng từng cung bậc tấn công, mua chuộc một nhân viên nào đó ở VietnamNet hoặc đánh cắp các thông tin nội bộ của báo điện tử này rồi dựa vào đó chi tiền thuê tin tặc nước ngoài tấn công. “Để xây dựng hoặc tự mua một botnet cỡ vài ngàn zombies thì rất dễ; nhưng để tạo ra một mạng botnet quy mô như đang đánh VietnamNet thì tin tặc phải ở trình độ rất cao, mà nhiều khả năng là tin tặc nước ngoài” – chuyên gia tham gia ứng cứu VietnamNet cho biết. Cũng theo chuyên gia này, “giá trị” của mạng botnet cỡ này nếu đem bán có thể kiếm được ít nhất 1 tỉ đồng. Tham khảo một số dịch vụ mua botnet của thế giới ngầm - tùy vào vùng lãnh thổ và chất lượng - giá cho mỗi mã độc được cài vào 1.000 máy người dùng (chưa phải là
zombie) dao động từ 9 – 250USD.
Một chuyên gia bảo mật khác - hiện đang giữ hệ thống của một ngân hàng lớn ở Việt Nam (xin không nêu tên) - cho rằng: “Thường thì tin tặc dùng DDOS để mở màn, làm cho đối phương mệt mỏi chống đỡ và để lộ sơ hở, từ đó chuyển hình thái tấn công khác. Với VietnamNet, DDOS đang là biện pháp cuối cùng, cho thấy phương án này có vẻ nằm ngoài kế hoạch và tin tặc có quyết tâm cao đánh VietnamNet đến cùng”. Cũng theo chuyên gia này, DDOS là hình thái tấn công rất khó đỡ. Hoặc nạn nhân phải gia tăng đầu tư cho hạ tầng, hoặc xây dựng các giải pháp lọc để chặn các truy vấn ma. “Không ai dám khẳng định có thể xây dựng một giải pháp triệt để để lọc hết truy vấn ma. Mình phải tùy biến theo tin tặc thôi. Mình đứng ngoài sáng, kẻ tấn công ở trong bóng tối. Mình bị động, kẻ tấn công luôn chủ động. Do vậy, chống đỡ là hết sức khó khăn” – chuyên gia này cho biết.
Câu chuyện “VietnamNet bị hack” vẫn chưa có hồi kết. Các luồng tấn công đang tiếp tục được duy trì. VietnamNet may mắn có được sự tương trợ của các đối tác, bởi nếu sự hỗ trợ hiện nay được quy thành dịch vụ tính tiền thì thiệt hại về kinh tế của VietnamNet là cực lớn. Sẽ là quá sớm để đưa ra một kết luận nào, nhưng câu chuyện VietnamNet đáng được các báo điện tử nói riêng và các trang cung cấp dịch vụ trực tuyến nói chung xem xét để chuẩn bị cho mình khả năng ứng phó. Lao Động sẽ trở lại vụ việc này khi có diễn biến mới.
Theo Báo Laodong
Phát triển bởi ICT GROUP.
