Trong hai ngày qua, các báo Anh từ Daily  Mail, Guardian, Times, Financial Times, ZD Net  UK, Cnet, Telegraph… dồn đập đăng tải thông tin  liên quan đến phát hiện của Trung tâm  An ninh mạng  Bách Khoa (Bkis) về máy chủ  điều khiển các vụ tấn công  từ chối dịch vụ  (DDoS) các website  chính phủ  Hàn Quốc  và Mỹ tuần qua. Sáng thứ Ba, ngày 14/7/09, Bkis công bố trên blog  tiếng Anh  của mình là phát hiện ra trung tâm  điều khiển vụ tấn công  website  chính phủ  Mỹ và Hàn Quốc  đặt tại Anh. Bkis nêu rõ máy chủ  gốc được dùng để phát tán chỉ dẫn đến các ‘zombie PC’ - các máy tính  hình thành mạng botnet có thể dùng để tấn công  các trang web  với lượng truy cập  lớn, làm vô hiệu hóa các website  - có địa chỉ IP  được Global Digital  Broadcast, công ty  truyền hình  Internet  có trụ sở ở Brighton (Anh) sử dụng. 

Các nhân viên  Cơ quan  tình báo  quốc gia  Hàn Quốc  (NIS) giám sát khả năng tấn công  ảo ngày 14/7. Ảnh: EPA/ Daily  MailNgay sau đó, các nhà chức trách Anh quốc  đã làm việc  với công ty  Global Digital  Broadcast. Báo Times trích dẫn người phát ngôn của Cơ quan  chống tội phạm nguy hiểm có tổ chức (SOCA) cho biết họ đã làm việc  với Global Digital  Broadcast nhưng đây không phải là một cuộc điều tra.

Trên thông cáo đăng trên website  của mình, công ty  này cho biết các kỹ sư của họ đã nhanh chóng loại trừ khả năng vụ tấn công  đến từ một website  chính phủ  Bắc Hàn như đã được tình nghi trước đó. Công ty  đã phát hiện nguồn gốc là từ một máy chủ  được đặt ở Miami (Mỹ). Máy chủ  này thuộc công ty  Digital  Latin America (DLA), một trong những đối tác của Digital  Global Broadcast. DLA cũng đã xác nhận họ bị hack.

Cũng từ phát hiện của Bkis, qua tin đăng tải trên các phương tiện thông tin  đại chúng thế giới, có nhiều giả thiết khác nhau về vụ tấn công  mạng này.

Theo báo Guardian đưa tin hôm qua, Bkis nghĩ có thể tóm được thủ phạm thực hiện các đợt tấn công  các website  Mỹ, Hàn tuần qua. Song  một quan chức của Ủy ban  Truyền thông  Hàn Quốc  nói với báo Korea Times là “Chúng tôi không biết  những kẻ tấn công  có thực sự đóng tại Anh không hoặc chủ yếu hack  một địa chỉ IP  Anh và sử dụng nó để phát tán”.

Bài đăng trên blog  công nghệ  Financial Times hôm nay, 16/7, viết mặc dù cuộc điều tra tấn công  website  chính phủ  Hàn Quốc, Mỹ đã phát hiện một số máy tính  điều khiển bị tình nghi, gồm khả năng máy chủ  gốc đặt tại Anh song  các nhà nghiên cứu  đang hỗ trợ chính phủ  Mỹ cho rằng khả năng bắt thủ phạm dưới 20%.

Trong khi đó, Hong Min-Pyo, chủ tịch  nhà cung cấp  giải pháp bảo mật  Hàn Quốc  Shiftworks cho hãng tin Pháp AFP  biết về kỹ thuật  không thể theo dấu kẻ đã khởi xướng các vụ tấn công. Shiftworks cũng đã theo dõi một máy chủ  đặt tại New Jersey (Mỹ), máy chủ  được tin là đang phát tán cái gọi là mã độc.

Theo Guardian, ngành mã độc hiện nay còn hoạt động  dưới dạng cho thuê: đăng quảng cáo  cung cấp dịch vụ  kèm các điều khoản dịch vụ. Chính vì botnet có sẵn cho thuê nên thủ phạm thực sự của các cuộc tấn công  này có thể đơn giản chỉ là kẻ đi thuê.

Ông Vincent Weafer, Phó chủ tịch  Symantec  Security Response cho báo Mỹ USA  Today hay một số máy tính  ma đã được chỉ đạo “xóa tất cả những file làm việc  liên kết với các ứng dụng phát triển, văn phòng, kinh doanh” và phá hủy “chương trình chương trình  khởi động gốc (master boot program) để làm cho lần sau PC không thể hoạt động  lại được khi người dùng  khởi động lại”. Và mục đích chính của chúng là kiếm tiền.

Mã độc được sử dụng trong vụ tấn công  vào website  chính phủ  Mỹ, Hàn Quốc  vừa qua được gọi là MyDoom.HN và chỉ nhiễm các máy tính  chạy hệ điều hành  Windows. Nó được sử dụng lần đầu tiên vào năm 2004 để tấn công  từ chối dịch vụ  SCO Group. SCO đã treo giải thưởng 250 nghìn USD  cho manh mối để bắt thủ phạm phát triển mã độc này. Microsoft  cũng treo thưởng 250 nghìn USD  cho thông tin  về kẻ tạo ra biến thể Mydoom.B được dùng để tấn công  các website  của Microsoft. Google  cũng bị tấn công  sau đó.

Blog của Financial Times viết Cục điều tra liên bang Mỹ (FBI) và Cơ quan  ứng cứu máy tính  Mỹ (US-CERT) của Bộ An ninh nội địa Mỹ cùng với sự hỗ trợ của các nhà nghiên cứu  tư nhân đang kiểm tra log của Digital  Latin America để phát hiện liệu họ có thể lần theo dấu vết của thủ phạm khác.

Trong lúc này, các nhà chức trách Hoa Kỳ  vẫn đang tiếp tục lần theo các kết nối điện tử  tới một vài máy chủ  điều khiển đáng khả nghi khác. Theo Financial Times ngày 15/7, một chuyên gia  an ninh điều tra vụ tấn công  cho biết, mỗi người đều có quan điểm  riêng về những kẻ tình nghi. Việc xuất hiện rất nhiều ý kiến trái chiều từ các chuyên gia bảo mật  lỗi lạc nhất thế giới  cho thấy các vụ tấn công  này quá phức tạp so với khả năng của một nhóm nhỏ.

Nhưng Jose  Nazario, chuyên gia  nghiên cứu  thuộc công ty  Abor Networks lại có ý kiến khác. Lệnh truy cập  từ các máy chủ  điều khiển rất giống với mã độc lưu hành không công khai được sử dụng trong cuộc tấn công. Quan điểm  của ông tại thời điểm này đó là vụ tấn không thuộc kế hoạch  của bất kỳ một chính phủ  nào cả mà rất có thể được thực hiện từ Hàn Quốc  và số hacker  nhiều nhất là 3 người.

Bạn có ý kiến gì về bài viết Tiến triển phát hiện hacker: Càng ngày càng rối! này? Hãy gởi suy nghĩ, bình luận, đánh giá, lời khuyên ... của bạn về bài viết Tiến triển phát hiện hacker: Càng ngày càng rối! bạn tại đây.