14/07/2009 14:56 GMT+7

Bkis phát hiện nguồn gốc vụ tấn công website Mỹ, Hàn

M.PHI - QUỐC TRUNG

TTO - Chiều 14-7, ông Nguyễn Minh Đức, Giám đốc Bkis Security, khẳng định, nguồn gốc các vụ tấn công vào các hệ thống website chính phủ của Mỹ và Hàn Quốc thời gian vừa qua xuất phát từ nước Anh.

Sơ đồ hệ thống botnet tấn công DDoS vào website chính phủ Hàn Quốc và Mỹ

Theo ông Đức, ngay sau khi KrCERT, Trung tâm cứu hộ máy tính khẩn cấp của Hàn Quốc, mời BKIS tham gia vào cuộc điều tra kẻ đứng sau các cuộc tấn công vừa qua, vào sáng thứ bảy (11-7), các chuyên gia của Bkis đã lập tức bắt tay vào phân tích code của virus MyDoom và đã chỉ ra được có 8 server điều khiển các máy tính ma trong loạt tấn công này. Quan trọng hơn, các chuyên gia của Bkis đã tấn công ngược trở lại 2 trong số 8 sever đó để thu thập được nhật ký của các cuộc tấn công.

Mỗi 1 bot ngẫu nhiên kết nối với một trong 8 server điều khiển 3 phút một lần để nhận lệnh sẽ tấn công website nào tiếp theo. Các server điều khiển nhận lệnh từ chỉ huy thông qua server chủ.

Dựa vào phân tích các log đó, các chuyên gia đã tìm ra được một máy tính đặt ở Anh Quốc đã điều khiển 8 máy này (theo sơ đồ trên). Đó chính là máy tính gốc (master server) phát động cuộc tấn công vào website của chính phủ Mỹ và Hàn Quốc trong tuần trước. Master Server này chạy trên hệ điều hành Windows.

Ông Đức cho biết "sau 25 giờ đồng hồ, các chuyên gia Bkis đã nắm được toàn bộ hoạt động của hệ thống botnet. Từ đó, đã truy ra được Master Server, nơi phát động cuộc tấn công. Tất cả những thông tin này đã được Bkis cung cấp cho chính phủ Mỹ và Hàn Quốc để họ xúc tiến các công việc tiếp theo ở Anh".

Sẽ tìm ra thủ phạm

Phóng to

Địa chỉ IP cuả Master Server

Ông Nguyễn Minh Đức cho hay: “Khi đã xác định được nguồn tấn công nằm tại Vương quốc Anh, chúng tôi tin rằng việc tìm ra hacker là hoàn toàn có thể thực hiện được.” Địa chỉ IP nghi ngờ là nguồn phát tán là 195.90.118.xxx.

Tuy nhiên điều này còn phụ thuộc vào chính phủ Mỹ và chính phủ Hàn Quốc bởi máy chủ được đặt tại Anh nhưng điều đó không có nghĩa là người Anh tham gia vào vụ tấn công.

Đến nay, theo ông Đức, Bkis là cơ sở an ninh đầu tiên trên thế giới tìm ra được Master Server đó. Đó chính là lý do các hãng thông tấn thế giới như: ComputerWorld, PCWorld, USAToday... đều quan tâm kết quả điều tra này của Việt Nam.

Theo một điều tra cụ thể của BKIS từ hệ thống máy chủ được xem là nguồn gốc của sự tấn công, có tổng cộng 166.908 máy và đặt tại 74 quốc gia trên thế giới đã "mắc bệnh" để tham gia vào cuộc tấn công này.

Dưới đây là top 10 quốc gia có số lượng máy tính bị nhiễm bệnh nhiều nhất: