Đằng sau vụ phản công hacker “chấn động toàn cầu”

Thông tin BKIS tuyên bố đã xác định được nguồn gốc cuộc tấn công DDoS nhằm vào Mỹ và Hàn Quốc chưa kịp “gây sốc” ra toàn cầu, thì trung tâm an ninh mạng này đã bị KrCERT yêu cầu đính chính thông tin và cáo buộc vi phạm nghiêm trọng luật pháp quốc tế.

Tuyên bố “chấn động toàn cầu”

Ngày 12/7, Trung tâm An ninh mạng Bách Khoa (BKIS) công bố trên blog của công ty về việc đã tìm ra 2 máy chủ được đặt tại Anh ra lệnh tấn công DDoS hệ thống website của Mỹ và Hàn Quốc. Với tính chất nghiêm trọng của vụ tấn công DDoS lớn chưa từng có, thông tin trên lập tức được nhiều cơ quan báo chí trong nước và nước ngoài như USA Today, PC World, News.com... đăng tải.

Liên tục các ngày sau đó, báo chí Việt Nam đã đăng tải về kết quả tìm kiếm của BKIS như một thành công rực rỡ, trong khi những đơn vị nghiên cứu toàn cầu khác chưa có bất cứ công bố nào liên quan tới vụ tấn công DDoS khủng khiếp chưa từng có này. Tuy nhiên, nhiều người vẫn tỏ ra hoài nghi về thông tin của BKIS khi 2 cường quốc về an toàn thông tin là Mỹ và Hàn Quốc vẫn chưa có kết luận gì về thủ phạm vụ tấn công.

Về quá trình điều tra nguồn gốc cuộc tấn công DDoS, ông Nguyễn Tử Quảng, Tổng Giám đốc BKIS, cho biết: "Sau khi nhận được yêu cầu từ phía KrCERT, chúng tôi đã dùng phương pháp dịch ngược mã nguồn virus, phát hiện ra 8 máy chủ điều khiển tấn công (C&C Server), sau đó tấn công ngược trở lại và đã khống chế được 2 server. Thông qua đó các chuyên gia có được các thông tin giúp ích cho việc phân tích và chỉ ra được master server (server gốc), nơi tổng chỉ huy các cuộc tấn công vào website chính phủ Hàn Quốc và Mỹ. Master server này có địa chỉ IP của Anh".

Bị cáo buộc vi phạm luật pháp quốc tế

Ngày 16/7, Trung tâm phản ứng sự cố máy tính khẩn cấp Việt Nam - VNCERT đã gửi công văn khẩn số 143/VNCERT tới lãnh đạo trường Đại học Bách Khoa "đề nghị Quý trường nhắc nhở Trung tâm BKIS" với lý do: "VNCERT nhận được khiếu nại chính thức của KrCERT gửi tới Hiệp hội Ứng cứu khẩn cấp máy tính Châu Á-TBD (APCERT) về yêu cầu BKIS đính chính thông tin đã công bố trên blog theo yêu cầu chính thức của KrCERT/CC".

Theo nội dung công văn của VNCERT, phía KrCERT khẳng định không đưa ra yêu cầu chính thức nào đề nghị BKIS hỗ trợ điều tra và truy tìm thủ phạm như BKIS đã công bố trên blog của trung tâm này. Trên thực tế, phía KrCERT chỉ gửi email tới VNCERT và đồng gửi cho BKIS (vì cũng là thành viên full member của APCERT) đề nghị hỗ trợ ngăn chặn một số địa chỉ IP xuất phát từ các máy tính ở Việt Nam bị nhiễm virus và tham gia vào vụ tấn công DDoS. KrCERT cho biết đã tự tiến hành các hoạt động nghiên cứu của mình và chỉ cung cấp mã độc cho BKIS tham khảo sau khi BKIS đã nhiều lần gọi điện để xin.

Theo nội dung KrCERT khiếu nại, "việc BKIS tuyên bố đã thực hiện tấn công và chiếm quyền điều khiển hai server để phân tích là vi phạm nghiêm trọng luật pháp Việt Nam và quốc tế. Cách BKIS công bố thông tin khiến công chúng hiểu lầm rằng BKIS thực hiện các hành vi tấn công trái pháp luật và đồng thời gây nhầm lẫn là KrCERT và APCERT cũng tham gia vào các hành vi phạm pháp này".

Trên cơ sở khiếu nại của KrCERT, VNCERT đề nghị ĐH Bách Khoa nhắc nhở BKIS về một số điểm:

- Cần báo cáo với VNCERT khi tham gia các hoạt động ứng cứu sự cố máy tính quốc tế vì cơ quan này là đầu mối phối hợp duy nhất tại Việt Nam.

- Phải tuân thủ việc giữ bí mật và chỉ cung cấp thông tin cho các bên liên quan theo đúng tinh thần của các tổ chức ứng cứu máy tính trên thế giới tôn trọng.

- Việc tham gia xử lý sự cố quốc tế rất nhạy cảm và nguy hiểm, thậm chí tội phạm mạng có thể chuyển hướng tấn công vào Việt Nam để trả đũa nên phải tham gia phối hợp quốc tế theo những nguyên tắc tổ chức đã được cân nhắc và giữ bí mật nghiêm ngặt.

- Sự cố này là một vấn đề có thể ảnh hưởng đến quan hệ quốc tế giữa Việt Nam và Hàn Quốc, cũng như gây ảnh hưởng đến uy tín của cộng đồng doanh nghiệp CNTT của VN.

BKIS: “Chúng tôi chẳng làm gì sai!”

Ông Nguyễn Tử Quảng, giám đốc BKIS cho rằng thông tin về việc “KrCERT không có yêu cầu chính thức nào đề nghị BKIS hỗ trợ điều tra thủ phạm...” là không chính xác. Trong email KrCERT/CC gửi ngày 10/7, cơ quan này đã khẩn thiết đề nghị các thành viên của Tổ chức Cứu hộ Sự cố máy tính khu vực Châu Á - TBD (APCERT) trợ giúp với nội dung trích dẫn sau:

“Nếu như bất cứ ai có thể giúp chúng tôi làm dịu tình hình này càng sớm càng tốt, chúng tôi hoan nghênh mọi nguồn tin về nguồn gốc của cuộc tấn công này, báo cáo phân tích về malware hay bất cứ tài liệu nào liên quan đến vấn đề này. Chúng tôi sẽ đánh giá cao nếu nhận được những tài liệu đó. Chúng tôi đang tuyệt vọng và chịu ảnh hưởng phá hoại nặng nề của cuộc tấn công... Chúng tôi thực sự mong muốn khắc phục tình trạng này. Cảm ơn vì các bạn đã quan tâm”. Do đó, thông tin nói rằng KrCERT/CC không đề nghị BKIS hỗ trợ điều tra là không chính xác.

Trong công văn 143/VNCERT còn nêu “BKIS thừa nhận tấn công và chiếm quyền điều khiển 2 server để tiến hành phân tích là vi phạm nghiêm trọng luật pháp Việt Nam và quốc tế...”. Trả lời về điều này, ông Quảng cho biết thực chất đây có lẽ là nội dung được dựa trên email của ông Jinhyun Cho. Tuy nhiên trong email đó, ông Jinhyun Cho cũng không khẳng định những điều này mà ông ta phỏng đoán là như vậy.

Đại diện BKIS cho rằng thực tế ông Jinhyun Cho không hề biết phương pháp BKIS đã thực hiện nhằm khống chế 2 server nói trên. Do đó, phát biểu của chuyên gia Hàn Quốc này hoàn toàn võ đoán và không có căn cứ và BKIS "sẽ làm việc với KrCERT/CC về việc này".

“Tấn công ngược”, “chiếm quyền điều khiển” hay “khống chế”?

Về kỹ thuật "tấn công ngược" 2 server của BKIS, ông Vũ Ngọc Sơn, Giám đốc Nghiên cứu và Phát triển (BKIS R&D), cho biết tại thời điểm phân tích, các server của hacker vẫn đang tiếp tục truyền các mã độc xuống hệ thống máy tính botnet. Trung tâm này đã khảo sát cả 8 server điều hành tấn công, phát hiện được được 02 server cung cấp các dịch vụ chia sẻ tài nguyên theo một kiểu dịch vụ web.

"Đây là một dạng dịch vụ hoàn toàn thông thường, ai cũng có thể sử dụng", ông Sơn khẳng định. "Thông qua đó các chuyên gia BKIS có được các thông tin giúp ích cho việc phân tích và chỉ ra được server thứ 9, chính là master server (server gốc), nơi tổng chỉ huy các cuộc tấn công vào website chính phủ Hàn Quốc và Mỹ. Do đó, tất cả các công việc này đều tuân theo các quy trình, quy định của luật pháp Việt Nam và Quốc tế".

Trong một trả lời khác với báo chí về việc "khống chế" hai server bị hacker sử dụng vào mục đích tấn công, ông Nguyễn Tử Quảng cũng khẳng định hành động này "hoàn toàn không phải xin phép và bất kỳ ai cũng có thể thực hiện."

Tuy nhiên, trên blog bằng tiếng Anh của BKIS lại mô tả rất rõ về quá trình khống chế 2 server nước ngoài: "Để xác định nguồn gốc các cuộc tấn công (từ chối dịch vụ DDOS - PV), chúng tôi đã tấn công trở lại các máy chủ C&C và giành được quyền điều khiển 2 trong số 8 máy chủ này. Sau khi phân tích các file log (dữ liệu giám sát các hoạt động của hệ thống - PV) của 2 máy chủ này, chúng tôi đã phát hiện được địa chỉ IP của master server là 195.90.118.xxx và được đặt tại Anh, sử dụng hệ điều hành Windows Server 2003".

Về việc VNCERT cho rằng "BKIS cần cung cấp thông tin cảnh báo sự cố về cho trung tâm điều phối quốc gia - VNCERT đồng thời giữ bí mật và chỉ cung cấp thông tin cho các bên liên quan theo đúng tinh thần mà các tổ chức ứng cứu máy tính trên thế giới tôn trọng", Tổng Giám đốc BKIS Nguyễn Tử Quảng đã dẫn khoản 4 điều 43 của Nghị định 64/2007/NĐ-CP của Chính phủ: “Trong trường hợp khẩn cấp có thể gây sự cố nghiêm trọng hay khủng bố mạng, các cơ quan chức năng có quyền tổ chức ngăn chặn các nguồn tấn công trước khi có thông báo, sau đó lập biên bản báo cáo cho cơ quan điều phối”.

"Do sự kiện website Chính phủ Hàn Quốc và Mỹ bị tấn công tê liệt đã diễn ra gần 10 ngày mà chưa tìm ra nguồn phát động tấn công, đây là một tình huống khẩn cấp có nguy cơ ảnh hưởng đến toàn cầu trong đó có Việt Nam, BKIS bắt buộc và được phép thực hiện truy tìm nguồn phát động tấn công, rồi sau đó báo cáo cơ quan điều phối. Hiện tại chúng tôi vẫn khẩn trương tiếp tục tiến hành điều tra cho nên chưa có thời gian để báo cáo. Chúng tôi sẽ thực hiện điều này sau khi đã hoàn thành công việc", ông Quảng nói.

Nhưng rõ ràng Nghị định 64/2007/NĐ-CP của Chính phủ về Ứng dụng CNTT trong hoạt động của cơ quan nhà nước của Việt Nam chắc chắn sẽ không thể áp dụng trong trường hợp các hệ thống mạng máy tính của Hàn Quốc hay Mỹ bị tấn công. Tuy nhiên, việc BKIS tự ý chiếm quyền điều khiển và phân tích các log file trên 2 máy chủ nằm ở nước ngoài sẽ vẫn nằm trong phạm vi áp dụng của các quy định về luật pháp quốc tế và của nước sở tại đang đặt 2 máy chủ này. Có lẽ chính vì điều đó, phía KrCERT không muốn liên đới tới hành động chiếm quyền kiểm soát máy chủ đặt tại nước ngoài của BKIS.

Theo Hải Phương - Huy Phong
Vietnamnet