Thành viên diễn đàn HVA tìm và vô hiệu hóa Sinh Tử Lệnh
Tqvn2004 tổng hợp
-
Nhóm tin tặc Sinh Tử Lệnh nổi lên kể từ khi hack vào diễn đàn X-cafevn.org và Dân Luận ngày 28/2/2010, đánh cắp thông tin cá nhân của các thành viên và tung lên mạng tại trang sinhtulenh.org. Thực ra họ đã có nhiều hoạt động phá hoại từ trước, nhưng chưa lấy Sinh Tử Lệnh làm danh xưng. Rất nhiều trang web nổi tiếng đã trở thành nạn nhân của Sinh Tử Lệnh, trong đó phải kể đến blog Osin Huy Đức, trang Minh Biện, Talawas, Bauxite Việt Nam, blog Anh Ba Sàm, blog của nhạc sĩ Tô Hải, Thông Luận, v.v…
Hoạt động tấn công trên mạng của nhóm Sinh Tử Lệnh rất đa dạng, từ đánh cắp thông tin cá nhân (ví dụ mật khẩu hòm thư hoặc quyền điều khiển trang blog) bằng cách gửi email có virus hoặc lừa nạn nhân vào những trang web giả mạo (phishing) cho đến tấn công từ chối dịch vụ (DoS) quy mô lớn. Sinh Tử Lệnh đã đột nhập vào một số trang cung cấp phần mềm gõ tiếng Việt như VPS, Unikey hay VietKey, thay thế bộ gõ ban đầu bằng phiên bản có chứa mã độc (trojan), để biến máy tính của người sử dụng thành bàn đạp tấn công các trang web lề trái theo lệnh của họ. Nạn nhân gần đây nhất của những mạng botnet (mạng gồm nhiều máy tính bị nhiễm virus) của Sinh Tử Lệnh là Dân Làm Báo, Tin Tức Hàng Ngày, HVA Online và cả VietnamNet.
Rất may cho chúng ta là một số kỹ thuật viên bên mạng HVA Online đã bắt tay vào phân tích mã virus của nhóm Sinh Tử Lệnh, từ đó phát hiện ra rất nhiều phiên bản khác nhau của virus Sinh Tử Lệnh. Họ đã gửi những phân tích của mình tới các hãng phần mềm diệt virus nổi tiếng thế giới để cập nhật cách diệt (trước đó người ta chỉ biết tới một phiên bản là Vecebot), giúp loại bỏ loại trojan độc hại này khỏi máy của người sử dụng, nếu máy tính có cài trình diệt virus của hãng. Họ cũng đã tìm ra những trung tâm điều hành mạng botnet, và thông báo với nhà cung cấp dịch vụ để đóng cửa các server vi phạm pháp luật này.
Độc giả có thể hỗ trợ các thành viên HVA Online trong cuộc chiến chống lại Sinh Tử Lệnh bằng cách:
- Đọc về cách kiểm tra máy có bị nhiễm virus của Sinh Tử Lệnh hay không ở đây: http://www.hvaonline.net/hvaonline/posts/list/540/39641.hva
- Thông báo rộng rãi cho bạn bè mình cách kiểm tra máy tính
- Chuyển những mẫu nghi có virus tới thành viên HVA, hoặc
- Giúp các kỹ thuật viên HVA chuyển mẫu virus đã bị phát hiện tới các hãng diệt virus (càng nhiều người báo thì họ càng ưu tiên cập nhật cách diệt sớm hơn).
Theo nhận xét của Admin PXMMRF trên HVA Online thì đây là một tổ chức có khá nhiều thành viên và nguồn tài chính dồi dào:
Như chúng ta đã thấy qua quá trình giải mã (RCE) của anh TQN, Sinh Tử Lệnh (STL) có khá nhiều webserver, trên 10 cái, đặt ở nhiều quốc gia mà điển hình là Hoa Kỳ và Nga, chuyên dùng làm master-webserver, chỉ huy và điều khiển các cuộc tân công DDoS vào các trang mang Việt Nam. Nạn nhân mới đây chính là HVA. Nạn nhân mới nhất là Vietnamnet.net. Hôm nay trên báo SGGP, Vietnamnet đã xác nhân thông tin website này bị DDoS. Việc bị DDoS đã làm cho website này luôn bị quá tải. Việc truy cập đến các trang của website khá chậm, đăc biệt là các trang đăng tải các hình ảnh.Tuy có nhiều master webserver như vậy, nhưng thưc tế gần đây STL chỉ sử dung thường xuyên một số master website-webserver. Chúng là: - second.dinest.net
- map.priper.info
- speed.cyline.org
- net.iadze.com
- một, hai website-webserver khác
STL thường chuyển nhiệm vụ thường trực chỉ huy điều khiển mang bot (in-charge) từ webserver này sang webserver khác, nhằm làm chúng ta bối rối trong việc theo dõi. Ngoài ra chúng còn thay đổi cổng truy cập, thí dụ từ 80 TCP sang 8080 TCP hoăc sang 443 TCP HTTPS…. Gần đây STL cũng đã dời webserver second.dinest.net từ một địa chỉ IP tĩnh cũ sang một đia chỉ IP tĩnh mới, để đánh lạc hướng người theo dõi.
Các webserver nói trên hầu hết hay tất cả chỉ hosting (đặt) một website duy nhất làm nhiệm vụ master webserver cho mạng bot. Các webserver nói trên đa phần là các dedicated server (server thuê riêng), chỉ một hai cái có thể là virtual server (Hai hay vài virtural server cùng trên một máy chủ).
Để theo dõi, điều chỉnh, bảo dưỡng, giải quyết các trục trặc về KT và hành chính từ xa (remote management) tất cà các master webserver nói trên thường xuyên, hàng giờ thì chắc chắn STL phải cần ít nhất là từ 3-4 người có trình độ KT khá và tương đối thông thạo ngoai ngữ (tiếng Anh). Thông thao đươc hiểu là trao đổi đươc qua phone, khi khẩn cấp và qua email. Chứ không phải là người có trình độ tiêng Anh ngớ ngẩn như một thành viên non nớt của STL viết một câu tiếng Anh dớ dẩn như vừa qua.
Ai đã từng đặt một webserver ở nước ngoài đều biết rõ và trải nghiệm điều này.
Chi phí thuê nhiều webserver đặt ở nước ngoài như STL đang làm, không hề nhỏ chút nào. Ai đã thuê dedicated server nước ngoài cũng biết rõ điều này. Các chi phí phụ, cần cho webserver hoạt động ổn định thường lại khá cao.
Để làm được rất nhiều việc như ta đã thấy hiện nay (không chỉ theo dõi quản lý các webserver, mà còn nhiều việc khác, như viết, sưu tầm các mã virus, trojan, tổ chức và thưc hiện việc gây nhiễm hàng trăm ngàn máy zombies ở VN và nước ngoài với virus tạo ra, theo dõi hiệu quả của quá trình….) STL cần nhiều nhân lực. STL cũng còn phải có một nhóm chuyên đọc, theo dõi nội dung và các bài viết trên rất nhiều website, blog trên mạng, để quyết định hay xin chỉ thị cấp trên là đánh (DDoS hay khui thông tin cá nhân nói xấu người chủ trì trang mạng) ai? Đánh như thế nào (đánh cảnh cáo – có thể như với Vietnamnet.net, hay đánh cho sụp hẳn – như với HVA)? Đánh thật hay đánh giả? (Đánh giả để che giấu mục đích thật, sâu xa của STL)….. Các bạn thử đoán xem cần bao nhiêu người để làm cho đạt yêu cầu (của cấp trên) việc này?
Nếu ai đó nói về một vài công việc khác mà có thể STL đang làm, chúng ta có thể phải kinh ngạc về khối lượng công việc họ phải làm và thán phục về ý tưởng sâu xa, thâm hiểm của họ.
Tôi nghĩ rằng STL là một tổ chức khá chặt chẽ, với biên chế hàng chục người, có thể lên đến 40-50 người, kể cả cấp trên trực tiếp. Tất nhiên STL gồm nhiều thành phần trong đó có vài bạn nhỏ VN biết ít nhiều về virus, nhưng dại dột trong cuộc sống. Nhưng cũng có những những người có trình độ khá, hay rất khá về virus, IT hoặc có những ý tưởng độc đáo, thông minh. Vì vậy không nên đánh giá STL quá thấp, như một số bạn đã viết. Cũng không nên đánh giá quá cao, để sợ.
- map.priper.info
- speed.cyline.org
- net.iadze.com
- một, hai website-webserver khác
STL thường chuyển nhiệm vụ thường trực chỉ huy điều khiển mang bot (in-charge) từ webserver này sang webserver khác, nhằm làm chúng ta bối rối trong việc theo dõi. Ngoài ra chúng còn thay đổi cổng truy cập, thí dụ từ 80 TCP sang 8080 TCP hoăc sang 443 TCP HTTPS…. Gần đây STL cũng đã dời webserver second.dinest.net từ một địa chỉ IP tĩnh cũ sang một đia chỉ IP tĩnh mới, để đánh lạc hướng người theo dõi.
Các webserver nói trên hầu hết hay tất cả chỉ hosting (đặt) một website duy nhất làm nhiệm vụ master webserver cho mạng bot. Các webserver nói trên đa phần là các dedicated server (server thuê riêng), chỉ một hai cái có thể là virtual server (Hai hay vài virtural server cùng trên một máy chủ).
Để theo dõi, điều chỉnh, bảo dưỡng, giải quyết các trục trặc về KT và hành chính từ xa (remote management) tất cà các master webserver nói trên thường xuyên, hàng giờ thì chắc chắn STL phải cần ít nhất là từ 3-4 người có trình độ KT khá và tương đối thông thạo ngoai ngữ (tiếng Anh). Thông thao đươc hiểu là trao đổi đươc qua phone, khi khẩn cấp và qua email. Chứ không phải là người có trình độ tiêng Anh ngớ ngẩn như một thành viên non nớt của STL viết một câu tiếng Anh dớ dẩn như vừa qua.
Ai đã từng đặt một webserver ở nước ngoài đều biết rõ và trải nghiệm điều này.
Chi phí thuê nhiều webserver đặt ở nước ngoài như STL đang làm, không hề nhỏ chút nào. Ai đã thuê dedicated server nước ngoài cũng biết rõ điều này. Các chi phí phụ, cần cho webserver hoạt động ổn định thường lại khá cao.
Để làm được rất nhiều việc như ta đã thấy hiện nay (không chỉ theo dõi quản lý các webserver, mà còn nhiều việc khác, như viết, sưu tầm các mã virus, trojan, tổ chức và thưc hiện việc gây nhiễm hàng trăm ngàn máy zombies ở VN và nước ngoài với virus tạo ra, theo dõi hiệu quả của quá trình….) STL cần nhiều nhân lực. STL cũng còn phải có một nhóm chuyên đọc, theo dõi nội dung và các bài viết trên rất nhiều website, blog trên mạng, để quyết định hay xin chỉ thị cấp trên là đánh (DDoS hay khui thông tin cá nhân nói xấu người chủ trì trang mạng) ai? Đánh như thế nào (đánh cảnh cáo – có thể như với Vietnamnet.net, hay đánh cho sụp hẳn – như với HVA)? Đánh thật hay đánh giả? (Đánh giả để che giấu mục đích thật, sâu xa của STL)….. Các bạn thử đoán xem cần bao nhiêu người để làm cho đạt yêu cầu (của cấp trên) việc này?
Nếu ai đó nói về một vài công việc khác mà có thể STL đang làm, chúng ta có thể phải kinh ngạc về khối lượng công việc họ phải làm và thán phục về ý tưởng sâu xa, thâm hiểm của họ.
Tôi nghĩ rằng STL là một tổ chức khá chặt chẽ, với biên chế hàng chục người, có thể lên đến 40-50 người, kể cả cấp trên trực tiếp. Tất nhiên STL gồm nhiều thành phần trong đó có vài bạn nhỏ VN biết ít nhiều về virus, nhưng dại dột trong cuộc sống. Nhưng cũng có những những người có trình độ khá, hay rất khá về virus, IT hoặc có những ý tưởng độc đáo, thông minh. Vì vậy không nên đánh giá STL quá thấp, như một số bạn đã viết. Cũng không nên đánh giá quá cao, để sợ.
Điều lạ lùng là nhóm Sinh Tử Lệnh tấn công dai dẳng vào một trang tin lớn của Việt Nam, đó là VietnamNet, mà không thấy cơ quan chức năng nào vào cuộc để tìm ra thủ phạm:
Sáng nay vô thử Vietnamnet thì vẫn tràn ngập trong “biển lửa”. Tất cả các trang mạng thuộc Vietnamnet đều chập chờn và đa số là bị lỗi 404.Hôm trước có vô được nhưng cực kỳ chậm. Điều này chứng tỏ cho đến nay Vietnamnet vẫn còn bị tấn công nặng nề, thậm chí còn nặng nề hơn mấy hôm trước. Botnet của Sinh Tử Lệnh vẫn tiếp tục “crawl” (dựa thông tin lấy từ con vmware đang chạy thử) và dường như Vietnamnet ứng dụng javascript để redirect nhưng chỉ thuần tuý redirecting nhưng không kiểm soát cụ thể cái gì được redirect và cái gì không được redirect. Hơn nữa, botnet của Sinh Tử Lệnh đập thẳng vô những trang chính của của Vietnamnet và sau đó tiếp tục “crawl” thì không có cách gì đỡ nổi. Về mặt pháp lý, lẽ nào một trang web lớn như Vietnamnet, một trong những cơ quan ngôn luận của nhà nước mà vẫn bó tay thúc thủ? Thông tin giải mã đã được anh em ở HVA công bố quá đầy đủ. Các cơ quan chức năng thừa sức mạnh để làm việc xuyên qua những channel chính thức để thộp cổ bọn tội phạm này. Nếu chuyện tường lửa đã được áp dụng để cản đến mức độ từng blog mà không thể dùng tường lửa để cản các master bots thì đây quả là chuyện kỳ lạ.
Để bảo vệ chính mình, hãy sử dụng ít nhất một chương trình diệt virus được cập nhật thường xuyên. Nếu không có tiền mua, độc giả có thể dùng tạm các bản miễn phí nổi tiếng sau đây:
- AVG Free- AVAST! Free
- AVIRA Free
- Microsoft Security Essentials
Theo: http://danluan.org/node/9739
Không có nhận xét nào:
Đăng nhận xét