Giải mã vụ tấn công mạng lớn nhất trong lịch sử

Với các ứng dụng nhắn tin miễn phí, người dùng có thể tạo ra các profile cá nhân, kết nối bạn bè, chia sẻ mọi thứ y như với Facebook, nhưng là trên nền tảng di động.

Spamhaus, tổ chức chống thư rác lớn trên thế giới, đã bị "thế giới ngầm" phản công - Ảnh: ArsTechnica

Vũ khí tấn công mạng: DNS

Cách đây đúng một năm, nhóm hacker hoạt động cho mục đích chính trị (hacktivist) Anonymous đã xây dựng một “vũ khí mạng” mới để thay thế cho dạng tấn công-từ chối-dịch vụ (DDoS) phổ thông. Loại “vũ khí mạng” sử dụng hệ thống tên miền (DNS – Domain Name System) như một lực lượng hùng mạnh để hạ gục các hệ thống máy chủ, buộc chúng phải phục tùng dưới sự điều khiển của mình.

Cùng thời gian đó, nhóm Anonymous đưa ra lời đe dọa sẽ “hạ gục” cả hệ thống mạng Internet toàn cầu trong chiến dịch “Operation Global Blackout” để phản đối dự luật SOPA, dự định dùng loại “vũ khí mạng” DNS tấn công vào mọi hệ thống trung tâm mạng Internet. Khi đó, tuyên bố của Anonymous bị đem ra làm trò cười “Cá tháng tư” (1-4).

Ngày 28-3, kỹ thuật tấn công “khuếch đại DNS” (DNS Amplification hay còn gọi DNS Reflection) này đã trở thành “chiêu thức” chủ chốt trong cuộc tấn công mạng nhắm vào tổ chức chống thư rác (spam) Spamhaus, tuy không “hạ gục” nhưng đã làm mạng Internet trên toàn cầu bị trì trệ do cường độ tấn công rất lớn, trong đó châu Âu chịu ảnh hưởng nặng nề nhất.

Đây được xem là cuộc tấn công mạng lớn nhất trong lịch sử từ trước đến nay với ước tính lượng dữ liệu “rác” được nhóm tin tặc “bơm” vào hệ thống mạng Spamhaus khoảng 300 gigabyte dữ liệu (GB)/giây. Gấp 6 lần so với các cuộc tấn công DDoS thông thường (vào khoảng 50 gigabyte dữ liệu/giây).

Biểu đồ ghi nhận lượng và mức độ tấn công từ chối dịch vụ (DDoS) từ năm 2010 đến nay, trong đó có cuộc tấn công mạng Spamhaus với cường độ lên đến 300 GB/giây - Nguồn: ARBOR Networks

Một số nhà cung cấp dịch vụ mạng (ISP) đã lường trước trường hợp tương tự và hiệu chỉnh hệ thống nhưng tội phạm mạng có thể vận dụng các dịch vụ công cộng như dịch vụ “đám mây” (cloud), mở rộng số lượng “nạn nhân” dưới quyền điều khiển, từ đó mở một cuộc tấn công gần như “không thể chống cự”.

Trong cuộc tấn công vào Spamhaus, hệ thống mạng của tổ chức chống thư rác này được bảo vệ sau lớp lá chắn Border Gateway Protocol với Anycast của CloudFare. Hiểu đơn giản nó sẽ “kiểm duyệt” các gói dữ liệu tiếp cận Spamhaus. Khi có dấu hiệu của một cuộc tấn công, lá chắn sẽ tạo ra các bộ lọc điều hướng các gói dữ liệu đó sang hướng khác. Tuy vậy, khối lượng lớn dữ liệu và số lượng lớn truy vấn gửi đến cũng đã làm “ngộp thở” hệ thống CloudFare trước khi đến đích Spamhaus.

Chính phủ Anh lập lực lượng đặc nhiệm chống tội phạm mạng

Để đối phó với các cuộc tấn công mạng như đã nhắm vào Spamhaus, Chính phủ Anh quyết định lập ra tổ “đặc nhiệm mạng” và kế hoạch CISP.

Lực lượng ban đầu sẽ gồm 12 – 15 chuyên gia bảo mật thực hiện theo dõi các cuộc tấn công mạng và cung cấp chi tiết những đối tượng thuộc mạng Anh đang bị tấn công trong thời gian thực. Song song đó, các cơ quan chính phủ như MI5 hay GCHQ sẽ phải chia sẻ thông tin tình báo theo kế hoạch CISP (Cyber Security Information Sharing Partnership) để tăng cường khả năng phòng vệ cho nền kinh tế nước này trước tấn công mạng.

Chỉ mới là khởi đầu!

Đó là nhận định của các chuyên gia an ninh mạng từ Kaspersky Lab và F5. Số lượng máy chủ bị điều khiển sẽ gia tăng và bị khai thác trở thành “vũ khí mạng” thường xuyên hơn. Cường độ tấn công tỉ lệ thuận theo đó tăng theo cấp số nhân.

Đại diện Kaspersky Lab cho biết có hai nguyên nhân chính để lo ngại về sự gia tăng các cuộc tấn công mạng cường độ lớn: lợi nhuận khổng lồ mà tội phạm mạng kiếm được nhờ tấn công DDoS vào hệ thống mạng các công ty để vòi tiền, hay xuất phát từ mục đích chính trị.

(Trần Đại Quang)

Internet toàn cầu đang hứng chịu đợt tấn công kỷ lục

Báo cáo của hàng loạt tổ chức an ninh mạng toàn cầu cho biết, trong những ngày qua người dùng Internet trên khắp thế giới đang phải gánh chịu tình trạng tốc độ tồi tệ và nguyên nhân là một cuộc tấn công có quy mô lớn kỷ lục trong lịch sử đang diễn ra.

Giới chuyên gia Internet tiết lộ, đây có thể là cuộc chiến trả đũa nhau giữa một tổ chức chống thư rác và một hãng lưu ký (hosting).

Mạng Internet toàn cầu “chậm như rùa” vì đợt tấn công lịch sử

Hiện tại, các vụ tấn công này mới chỉ ảnh hưởng đến các dịch vụ web thông thường nhưng giới chuyên gia dự báo trong những ngày tới, tình hình sẽ trở nên tồi tệ hơn và các hệ thống mạng của ngân hàng và thư điện tử sẽ bị ảnh hưởng.

Ít nhất 5 lực lượng “cảnh sát Internet” cấp quốc gia đã được huy động để điều tra những cuộc tấn công này.

Spamhaus, một tổ chức phi lợi nhuận có trụ sở đặt tại London và Geneva chuyên hỗ trợ các nhà cung cấp dịch vụ thư điện tử ngăn chặn thư tác và các loại nội dung không được phép khác đã thiết lập một “danh sách đen” các máy chủ được coi là đang bị sử dụng để thực thi các hành vi mờ ám. Mới đây, Spamhaus đã quyết định chặn các máy chủ của Cyberbunker, một công ty hosting của Hà Lan với lý do những máy chủ này đang chứa chấp “đủ thứ độc hại” ngoại trừ nội dung khiêu dâm trẻ em và những tài liệu liên quan đến khủng bố.

Mạng Internet toàn cầu “chậm như rùa” vì đợt tấn công lịch sử

Sven Olaf Kamphuis, phát ngôn viên của Cyberbunker đã tuyên bố Spamhaus đang lạm dụng vị trí của mình và những tổ chức như thế này không nên được trao quyền quyết định cái gì được phép hay không được phép đưa lên mạng Internet.

Theo tố cáo của Spamhaus, Cyberbunker đang hợp tác với các tổ chức tội phạm ở Đông Âu và Nga để tiến hành những cuộc tấn công quy mô lớn này.

Ông Steve Linford, Tổng giám đốc của Spamhaus cho biết quy mô của các cuộc tấn công “lớn chưa từng thấy”.

“Chúng tôi đã bị tấn công trong suốt khoảng hơn 1 tuần nay. Nhưng chúng tôi sẽ trở lại. Chúng không thể hạ gục được chúng tôi. Các kỹ sư đang phải giải quyết một khối lượng công việc khổng lồ bởi các cuộc tấn công kiểu này có khả năng làm tê liệt bất cứ hệ thống mạng nào”.

Ông Steve Linford còn tiết lộ, 5 cơ quan chống tội phạm mạng của các quốc gia khác nhau đã điều tra và phát hiện ra rằng những kẻ tấn công vẫn sử dụng biện pháp tuy cũ nhưng rất hiệu quả là “Tấn công từ chối dịch vụ phân tán” (DDoS) với khả năng gây “ngập lụt” mục tiêu bị tấn công bằng một lượng truy cập giả mạo vô cùng lớn và khiến mọi nỗ lực truy cập bình thường không thể thực hiện được nữa. Trong trường hợp này, hệ thống phân giải tên miền (DNS) trên các máy chủ của Spamhaus là nạn nhân.

Mạng Internet toàn cầu “chậm như rùa” vì đợt tấn công lịch sử

Cũng theo ông Linford, các cuộc tấn công này dữ dội đến mức nó có thể đánh sập toàn bộ hệ thống mạng, cơ sở hạ tầng mạng Intenet của chính phủ Anh. “Nếu bạn chuyển hướng các cuộc tấn công này vào Downing Street (khu vực tập trung các cơ quan thuộc chính phủ Anh), họ sẽ mất khả năng truy cập Internet ngay lập tức”, ông Linford cho biết.
Hiện nay, các cuộc tấn công đang đổ về một lượng truy cập lên tới 300 gb/s trong khi nếu cần hạ gục các ngân hàng lớn nào đó, những kẻ tấn công chỉ cần đến khoảng 50gb/s.

Arbor Networks, một hãng bảo mật chuyên chống tấn công DDoS cũng thừa nhận họ “chưa từng thấy một cuộc tấn công nào lớn như thế này trong lịch sử Intenet toàn cầu”.
“Vụ tấn công DDoS lớn nhất mà chúng tôi từng chứng kiến là 100 gb/s vào năm 2010 nhưng với mức 300 gb/s như hiện nay thì quả là khó tưởng tượng mức độ nghiêm trọng”, Dan Holden, giám đốc phụ trách mảng nghiên cứu an ninh của hãng nói, “Mức độ thiệt hại và ảnh hưởng còn phụ thuộc vào hạ tầng mạng của từng quốc gia”.

Spamhaus ước tính chỉ có một số quốc gia có hệ thống hạ tầng mạng tốt mới có thể đương đầu được với các cuộc tấn công. Nhiều hãng Internet lớn trên thế giới trong đó có cả Google đang tích cực hỗ trợ Spamhaus nhằm “chia lửa” của các đợt tấn công.

“Điều lạ nữa là trong các đợt tấn công này, chúng không nhắm vào một mục tiêu cụ thể nào mà thay vào đó là đánh vào bất cứ hệ thống nào mà chúng cảm thấy có thể hạ gục được”, ông Linford cho biết.

Hiện Spamhaus có hơn 80 hệ thống máy chủ trên khắp thế giới.

IN / trandaiquang.net

'Chiến binh số' của Triều Tiên mạnh đến mức nào

Các nhà điều tra vẫn chưa thể kết luận kẻ chủ mưu vụ tấn công mạng ở Hàn Quốc hồi tuần rồi. Nhưng các chuyên gia an ninh mạng Hàn Quốc cho rằng CHDCND Triều Tiên đang huấn luyện một nhóm các chiến binh mạng.

Malware (phần mềm máy tính được thiết kế với mục đích xâm nhập hoặc phá hủy dữ liệu trên máy tính bao gồm virus, worm, trojan, rootkit…) đã làm ngừng trệ các máy tính và máy chủ tại ba đài truyền hình và ba ngân hàng Hàn Quốc hôm 20.3, làm gián đoạn hoạt động ngân hàng và truyền thông, theo tin tức từ hãng tin AP.

Cuộc điều tra malware này mất nhiều tuần hoặc thậm chí nhiều tháng mới tìm ra được thủ phạm.

Các điều tra viên Hàn Quốc vẫn chưa tìm thấy chứng cứ để chứng minh Triều Tiên đứng sau vụ tấn công mạng hôm 20.3.

Cảnh sát Hàn Quốc ngày 25.3 cho biết, họ phát hiện nguồn gốc malware xuất phát từ Mỹ và ba quốc gia châu Âu.

Nhưng Hàn Quốc lại nghi ngờ Triều Tiên đứng sau vụ tấn công mạng này, do kể từ năm 2009 Bình Nhưỡng đã sáu lần tấn công mạng Seoul.

Và Seoul phải thành lập Trung tâm Chỉ huy An ninh mạng để đối phó với các nguy cơ tấn công mạng từ Triều Tiên.

Trong những năm gần đây, Triều Tiên đã rót nhiều tiền đầu tư vào khoa học và công nghệ.

Hồi tháng 12.2012, các nhà khoa học Triều Tiên đã phóng tên lửa đưa vệ tinh của nước này vào quỹ đạo thành công.

Đến tháng 2.2013, Triều Tiên tuyên bố thử nghiệm hạt nhân lần 3 thành công.

Ngành công nghệ thông tin đang ngày càng phát triển ở Triều Tiên.

Nước này đã phát triển ra hệ điều hành máy tính riêng gọi là Red Star (Ngôi sao Đỏ), nhập khẩu máy tính bảng Trung Quốc.

Triều Tiên có một nhóm các nhà phát triển chuyên nghiên cứu, sản xuất đủ loại phần mềm vi tính nội địa từ sáng tác nhạc cho đến dạy nấu ăn…

Mỹ và Hàn Quốc cho rằng Triều Tiên cũng có hàng ngàn tin tặc được chính phủ nước này huấn luyện bài bản để thực hiện những cuộc chiến tranh mạng, và kỹ năng của những tin tặc này không thua kém gì so với tin tặc Trung Quốc và Hàn Quốc.

“Tham vọng mới của Triều Tiên là tăng cường năng lực tiến hành những cuộc chiến tranh mạng”, AP dẫn lời tướng James Thurman, Chỉ huy lực lượng Mỹ tại Hàn Quốc, phát biểu trước các nhà lập pháp Mỹ.

Cố lãnh đạo Kim Jong-il (đeo kính râm) làm việc với các chuyên gia máy tính hồi năm 2009 - Ảnh: Reuters

“Triều Tiên triển khai những tin tặc được huấn luyện để tiến hành những cuộc tấn công mạng nhắm vào Hàn Quốc và Mỹ”, theo ông Thurman.

Giám đốc Cơ quan Tình báo Quốc gia Hàn Quốc Won Sei-hoon ước tính Triều Tiên có một đơn vị chuyên về chiến tranh mạng bao gồm 1.000 tin tặc.

Các sinh viên Triều Tiên được tuyển vào học tại các viện nghiên cứu khoa học hàng đầu của nước này để trở thành “những chiến binh mạng”, theo ông Kim Heung-kwang.

Ông Kim Heung-kwang là người Triều Tiên được huấn luyện để trở thành tin tặc trong suốt 20 năm tại một trường đại học ở thành phố Hamhung ở Triều Tiên), nhưng sau đó bỏ chạy khỏi nước này hồi năm 2003.

Ông Kim Heung-kwang cho biết thêm các tin tặc cũng được gửi ra nước ngoài học tập như ở Trung Quốc và Nga.

Hồi năm 2009, báo chí Hàn Quốc trích dẫn các báo cáo từ Triều Tiên cho rằng cố lãnh đạo Kim Jong-il đã từng ra lệnh tăng cường số tin tặc lên 3.000 người, nhưng vẫn chưa rõ tính xác thực của báo cáo này.

Ông Kim Heung-kwang, hiện đang sống lưu vong ở Seoul kể từ năm 2004, cho biết Triều Tiên đã tuyển thêm rất nhiều tin tặc kể từ năm 2009, và một số tin tặc đang ở Trung Quốc để tiến hành các cuộc tấn công mạng ra nước ngoài.

Quảng trường Kim Nhật Thành tại Bình Nhưỡng.

“Rõ ràng Triều Tiên có đủ khả năng tạo ra malware tấn công máy tinh, máy chủ, hệ thống mạng theo dạng DDOS (từ chối dịch vụ). Mục tiêu của Triều Tiên là nhắm vào Mỹ và Hàn Quốc”, theo ông Kim Heung-kwang.

Chuyên gia an ninh mạng Mỹ, ông C. Matthew Curtin nhận định đối với Triều Tiên, việc mở rộng năng lực chiến tranh mạng bằng cách tạo ra malware vẫn ít tốn kém và nhanh hơn chế tạo vũ khí hạt nhân.

Trong thế giới mạng, tin tặc Triều Tiên có thể dễ dàng nặc danh, hủy bỏ chứng cứ bằng cách làm giả IP, ông Curtin cho biết thêm.

Các quan chức Triều Tiên vẫn chưa thừa nhận cáo buộc các chuyên gia máy tính nước này được huấn luyện thành các chiến binh mạng, nhưng luôn bác bỏ cáo buộc tấn công mạng.

Bình Nhưỡng vẫn chưa lên tiếng về vụ tấn công mạng Hàn Quốc hồi tuần rồi, theo hãng tin AP.

Hồi tháng 6.2012, kết quả cuộc điều tra kéo dài 7 tháng cho thấy trung tâm viễn thông của Triều Tiên có liên quan đến vụ tấn công mạng làm tê liệt hệ thống máy tính báo đài Hàn Quốc, cụ thể là tờ JoonAng Ilbo.

Ở Hàn Quốc, nền kinh tế, thương mại và mọi khía cạnh cuộc sống đều phụ thuộc lớn vào internet.

Trong khi Triều Tiên chỉ mới bắt đầu online trong những năm gần đây, nhưng kiểm soát rất chặt chẽ internet vì Bình Nhương từng tố cáo Mỹ-Hàn tấn công mạng nước này.

“Triều Tiên chẳng có gì để mất trong cuộc chiến tranh mạng. Nếu như Triều Tiên thật sự đứng sau vụ tấn công mạng hồi tuần rồi thì Hàn Quốc cũng không có một mục tiêu nào để tấn công trả đũa”, giáo sư Kim Seeongjoo của Khoa Quốc phòng thuộc Đại học Hàn Quốc ở thủ đô Seoul, cho hay.

Nguồn: http://nguyentandung.org/chien-binh-so-cua-trieu-tien-manh-den-muc-nao.html