Home Công nghệ số Bảo mật Sự cố hacker VNA, lỗ hổng đã được cảnh báo

Sự cố hacker VNA, lỗ hổng đã được cảnh báo

0
nhom-hacker-tan-cong-trang-web-vietnam-airlines-la-ai-11-201259

Liên quan đến sự kiện tin tặc Trung Quốc tấn công sân bay Việt Nam vào lúc 16g ngày 29/7, đây là vụ tấn công có chủ đích và là âm mưu có chuẩn bị kỹ lưỡng, có dấu hiệu báo trước. Khách truy cập vào website vietnamairlines.com chỉ thấy một giao diện đen tối kèm những dòng chữ mang hàm ý nhục mạ do tin tặc tự xưng 1937CN để lại.

nhom-hacker-tan-cong-trang-web-vietnam-airlines-la-ai-11-201259

Đừng để mất bò mới lo làm chuồng

Hệ thống mạng của Vietnam Airlines (VNA) đã bị tấn công khá sâu. Điều này có thể nhận diện qua việc hệ thống màn hình trình chiếu và loa đã ít nhiều bị kiểm soát. Một chuyên gia an ninh mạng cảnh báo nguy cơ nhóm tin tặc 1937CN nhúng mã khai thác lỗi zero-day (0-day) vào tập tin Excel tài khoản Lotusmiles để chiếm luôn máy tính của những người tải về. Theo chuyên gia này, nhóm tin tặc khai thác vào yếu tố xài phần mềm Microsoft Office lậu (bản crack) chưa được cập nhật các bản vá lỗi mới nhất từ Microsoft rất phổ biến tại Việt Nam. Người dùng sử dụng Microsoft không có bản quyền khi tải file này về sẽ trở thành nạn nhân mới của nhóm hacker.

Ông Nguyễn Hải Tùng, Trưởng ban Công nghệ thông tin VNA, khẳng định: đây là vụ tấn công có chủ đích và là âm mưu có chuẩn bị kỹ lưỡng, có dấu hiệu báo trước. Cụ thể, trong quá trình rà quét, các đối tác của hãng đã phát hiện dấu hiệu nghi ngờ từ tối 28.7 và đưa ra cảnh báo đợt virus này có khả năng bùng nổ trên diện rộng. Cơ quan chức năng đã cảnh báo cho các đơn vị. Khi sự cố xảy ra, VNA đã cô lập toàn bộ hệ thống, riêng website Vietnamairlines.com bị chiếm quyền quản trị tên miền để chuyển sang địa chỉ trang web ở nước ngoài, và cũng được khắc phục sau đó. Trong thời điểm bị tấn công, hoạt động đầu cuối ở các sân bay và hiển thị trên website bị ảnh hưởng nhưng hoạt động sản xuất kinh doanh về cơ bản vẫn được đảm bảo.

Nhóm tin tặc 1937CN còn tung lên mạng toàn bộ cơ sở dữ liệu được cho là thông tin tài khoản của 411.000 khách hàng Bông sen vàng (Lotusmiles) do Vietnam Airlines phát hành. VNA đã cô lập và phong tỏa tận nguồn, đang kiểm tra kỹ lưỡng với các đơn vị an ninh công nghệ để đảm bảo an toàn.

Đại diện hãng hàng không còn cho biết hệ thống làm thủ tục của hãng tại các sân bay cơ bản đã được khắc phục và hoạt động trở lại. VNA cũng khẳng định mọi thông tin giao dịch và thanh toán khách hàng cung cấp trong quá trình đặt chỗ, mua vé trên website được đảm bảo an toàn, hãng đang làm việc với các đối tác để tăng cường các biện pháp đảm bảo quyền lợi của khách hàng. Hiện, hệ thống check-in đã hồi phục nhưng một số màn hình chưa kết nối vì sợ hacker tiếp tục phá hoại.

Theo Cục Hàng không Việt Nam, vụ tấn công của tin tặc đã ảnh hưởng nghiêm trọng đến quy trình phục vụ hành khách. Hơn 100 chuyến bay bị ảnh hưởng, trong đó hàng chục chuyến bay bị chậm giờ từ 15 phút cho đến hơn 1 tiếng. Tuy nhiên, tình hình hoạt động của các sân bay diễn ra bình thường do các đơn vị hàng không đã triển khai các biện pháp phòng ngừa. Sự cố trên hoàn toàn không ảnh hưởng đến hệ thống điều hành bay, khai thác tàu bay, không uy hiếp đến an toàn bay.

Cũng vào khoảng 22 giờ ngày 29.7, cổng thông tin điện tử của Liên đoàn Bóng đá VN (VFF) với tên miền www.vff.org.vn đã bị tê liệt hoàn toàn do bị tin tặc tấn công và chiếm quyền kiểm soát trang chủ. Trên màn hình màu đen xuất hiện hình ảnh con sói kèm dòng chữ Wolf Hacker và một thông báo bằng tiếng Anh với nội dung chống chiến tranh tại Syria. Tuy nhiên, sau 3 tiếng kể từ thời điểm phát hiện sự việc, cổng thông tin điện tử của VFF đã trở lại hoạt động bình thường vào 1 giờ 30 sáng 30.7.

Cần rà soát và kịch bản dự phòng

Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) cũng đã có công văn khẩn gửi các đơn vị đề nghị đặc biệt chú trọng công tác đảm bảo an toàn thông tin trên hệ thống do mình quản lý, đồng thời chỉ đạo quyết liệt các phòng, ban có chức năng quản trị hệ thống thực hiện ngay những biện pháp như thay đổi ngay các mật khẩu hiện tại, thiết lập chính sách bắt buộc thay đổi mật khẩu trong chu kỳ 1 tháng. Mật khẩu không được trùng nhau, đặt mật khẩu mạnh (tối thiểu 8 ký tự bao gồm cả chữ, số và ký tự đặc biệt). Các mật khẩu bao gồm mật khẩu máy chủ, mật khẩu đăng nhập ứng dụng, mật khẩu hệ điều hành, mật khẩu quản lý tên miền…
Bên cạnh đó, các đơn vị phải cô lập phân vùng các vùng máy chủ, thiết lập chính sách chỉ một vài địa chỉ IP, một số máy tính mới có quyền truy cập vào máy chủ được chỉ định; Rà soát mã độc trên các máy chủ, máy trạm để phát hiện và gỡ bỏ những mã độc đã được cài cắm; Thiết lập tường lửa, hệ thống phát hiện xâm nhập để phát hiện và cảnh báo sớm các cuộc tấn công nhằm vào hệ thống.

Cũng theo công văn này, danh sách mật khẩu các máy chủ không được lưu trên máy tính cá nhân và chỉ cho một số ít cán bộ có quyền nắm giữ danh sách này mà thôi; Cập nhật thường xuyên các bản vá cho hệ điều hành, phần mềm dịch vụ trên các máy chủ, máy trạm; Cài đặt và để chế độ cập nhật tự động thường xuyên các chương trình diệt mã độc; Sao lưu thường xuyên các ứng dụng, mã nguồn, cơ sở dữ liệu để có phương án dự phòng; Chuẩn bị và thực hành các phương án đối phó, kịch bản dự phòng đồng thời xây dựng quy trình ứng cứu xử lý nếu xảy ra sự cố, đừng để mất bò mới lo làm chuồng.

Previous articleCơ quan hành pháp và các công ty bảo mật CNTT hợp lực chống lại ransomware
Next articleISUZU ra mắt xe mu-X, giá dưới 1 tỷ đồng

LEAVE A REPLY

Please enter your comment!
Please enter your name here