Botnet phát tán sâu Duqu vừa bị đánh sập tại Việt Nam
Diễn đàn - Ngày đăng : 07:06, 04/11/2015
Mạng lưới một số cụm máy chủ Duqu
Duqu là một trojan tinh vi được xem là thế hệ thứ hai của sâu Stuxnet khét tiếng. Nó khai thác và mở backdoor vào hệ thống và tạo điều kiện thuận lợi cho việc đánh cắp thông tin đặc biệt là về công nghệ, chính trị của tội phạm mạng. Vào tháng 4 năm nay, Iran thừa nhận hệ thống mạng của nước này đã bị tin tặc tấn công và sâu Duqu được sử dụng để do thám thông tin về chương trình hạt nhân của nước này. Hiện nay, Kaspersky Lab đã ghi nhận hơn 12 biến thể Duqu khác nhau. Những biến thể này kết nối với một cụm máy chủ C&C ở Ấn Độ, Bỉ và nhiều máy chủ C&C khác, đặc biệt là hai cụm máy ở Việt Nam và Hà Lan. Nhiều máy chủ đã được sử dụng như một phần của cơ sở hạ tầng, một số sử dụng các proxy C&C chính trong khi số khác tham gia vào hệ thống do bị tin tặc chiếm quyền điều khiển mà chủ nhân không hay biết. Do đó việc truy nguồn trở nên khó khăn hơn.
Khi phân tích hệ thống máy chủ Duqu C&C tại Việt Nam, các chuyên gia Kaspersky đã phát hiện được cách thức hoạt động của hệ thống và xác định thời điểm chính xác các máy chủ Duqu C&C hoạt động là từ đầu tháng 11/2009. Ước lượng có hơn 12 cụm máy chủ C&C đã bị hack để phục vụ cho hoạt động của tội phạm mạng trong suốt 3 năm qua trên toàn thế giới cũng như tại Việt Nam, Ấn Độ, Đức, Singapore, Thụy Sĩ, Vương Quốc Anh, Hà Lan, Bỉ, Hàn Quốc… và một vài nơi khác. Hầu hết các máy bị hack hoạt động trên nền hệ điều hành CentOS Linux. Cả máy 32-bit và 64-bit đều bị hack. Ngay sau khi chiếm quyền kiểm soát máy chủ, tội phạm mạng gấp rút cập nhật OpenSSH 4.3 lên phiên bản 5. Vào ngày 20/10/2011, hoạt động xóa dấu vết lớn của mạng Duqu được bắt đầu. Tin tặc xóa sạch mỗi máy chủ đơn chúng sử dụng kể từ năm 2009 ở Ấn Độ, Việt Nam, Đức, Vương Quốc Anh… v.v. Tháng 11/2011, các chuyên gia Kaspersky Lab đã phối hợp cùng PA Việt Nam vô hiệu hóa máy chủ Duqu C&C được đặt tại Việt Nam. Máy chủ trên được dùng để điều khiển chính biến thể Duqu được tìm thấy ở Iran. Đây là một máy chủ Linux đang chạy hệ điều hành CentOS 5.5, giống như hầu hết các máy chủDuqu C&C khác cũng chạy hệ điều hành CentOS – phiên bản 5.4, 5.5 hay 5.2. Chủ nhân của máy chủ C&C này vẫn không hay biết máy của mình đã bị tội phạm mạng chiếm quyền điều khiển và trở thành một mắt xích trong mạng lưới botnet của chúng. Sự thành công của chiến dịch đã đánh dấu một bước tiến dài của Kaspersky trong việc truy tìm những dấu hiệu và tung tích những nhóm tội phạm mạng đứng sau các cuộc tấn công, phục vụ hiệu quả hơn cho công tác điều tra trong tương lai.
Với kết quả tích cực của chiến dịch tại Việt Nam, Kaspersky Lab khẳng định, nếu thiếu sự hợp tác đầy thiện chí của PA Việt Nam, cuộc điều tra sẽ không thể tiến hành thuận lợi. Được thành lập từ năm 2001, P.A Việt Nam là một trong những nhà cung cấp dịch vụ hàng đầu Việt Nam về phần mềm, các giải pháp về Internet, Domain, Web hosting, thương mại điện tử… chất lượng cao. Nhờ cung cấp và quản lý các dịch vụ về tên miền, Web hosting… nên P.A Việt Nam phối hợp rất hiệu quả trong việc truy tìm, theo dõi nguồn phát tán của mạng máy tính ma cũng như giám sát chặt chẽ hệ thống server nhiễm virut điều khiển mạng botnet để kịp thời vô hiệu hóa những server này.
Thông qua lần hợp tác chống tội phạm mạng này, Kaspersky Lab mong muốn rằng sẽ nhận được sự giúp đỡ không chỉ từ PA Việt Nam mà còn từ các cơ quan chức năng khác trong những trường hợp tương tự trong tương lai. Hợp tác phòng chống tội phạm mạng sẽ mang đến lợi ích cho tất cả các bên tham gia, đồng thời đảm bảo an toàn hơn cho ngôi nhà số
Mạnh Vỹ