talawas blog

Chuyên mục:

George Kurtz – Đợt tấn công vi tính nhằm vào những người sử dụng tiếng Việt

01/04/2010 | 12:15 sáng | 5 phản hồi

Tác giả: Đông Hiến

Chuyên mục: Chính trị - Xã hội
Thẻ: >

Đông Hiến dịch

Chắc nhiều độc giả đã đọc bài trên Google blog post về các cuộc tấn công nhằm vào máy vi tính của những người sử dụng tiếng Việt và nhiều thứ tiếng khác. Con bọ xâm nhập, do McAfee phát hiện trong quá trình điều tra vụ Aurora, đã lũng đoạn các máy vi tính của nạn nhân trong một cuộc tấn công có biểu hiện của động cơ chính trị. McAfee đã và đang trao đổi kết quả từng bước với Google theo sát với diễn tiến của cuộc điều tra.

Những kẻ tấn công tạo ra con bọ bằng cách nhằm trước vào những người sử dụng tiếng Việt và cài phần mềm theo dõi được ngụy tạo dưới vỏ bọc phần mềm hỗ trợ ngôn ngữ tiếng Việt. Bộ gõ được biết đến với tên gọi VPS Keys là phần mềm khá thông dụng trong giới sử dụng Windows tiếng Việt, cho phép người dùng bỏ dấu chính xác khi dùng các ứng dụng của Windows.

Bộ mã điều khiển bọ được ngụy trang dưới vỏ bọc phần mềm bàn phím đã được tải về các máy tính cá nhân, để sau khi xâm nhập được máy tính của nạn nhân sẽ kết hợp với con bọ, trở thành công cụ có thể điều khiển từ xa thông qua một hệ thống kiểm soát và điều khiển đặt trên khắp thế giới, được truy cập chủ yếu từ các địa chỉ IP đặt tại Việt Nam.

Chúng tôi tin rằng kế hoạch đặt bọ được khởi động từ cuối năm 2009, trùng hợp ngẫu nhiên với các đợt tấn công trong vụ Operation Aurora attacks. Mặc dù phòng nghiên cứu kỹ thuật McAfee phát hiện được phần mềm có mục đích xấu này trong vụ Aurora, nhưng chúng tôi cho rằng hai vụ này không có liên quan gì với nhau. Mã điều khiển bọ này đơn giản hơn rất nhiều so với vụ tấn công Aurora. Đó là mã điều khiển rất thông dụng, có thể dùng để điều khiển các máy tính bị nhiễm tham gia các vụ tấn công từ chối dịch vụ (DDoS), kiểm soát hoạt động của các hệ thống bị nhiễm, và các mục đích mờ ám khác.

Chúng tôi tin rằng những kẻ chủ mưu đợt tấn công này trước tiên đã thâm nhập trang www.vps.org, một trang mạng của Hộ Chuyên gia Việt Nam (VPS) và đánh tráo phần mềm hỗ trợ bàn phím bằng một vi rút con ngựa thành Tơ-roa (Trojan horse). Sau đó, những kẻ tấn công gửi một e-mail đến tất cả các máy tính cá nhân mà họ chủ trương tấn công, hướng dẫn những người này truy cập vào trang VPS để họ tải về bộ gõ mới, nhưng thực chất là vi rút Tơ-roa.

Bộ gõ ngụy tạo này, được McAfee đặt tên là W32/VulcanBot, liên kết máy tính bị xâm nhập với một mạng lưới các máy tính nạn nhân khác. Trong quá trình điều tra về con bọ xâm nhập, chúng tôi phát hiện được khoảng mười hai hệ thống/lệnh điều khiển và kiểm soát trên mạng lưới các máy tính bị xâm nhập. Máy chủ điều khiển và kiểm soát các mạng lưới này được truy cập chủ yếu  từ các địa chỉ IP đặt tại Việt Nam.

Vi rút Tơ-roa đã cài đặt các phần mềm có mục đích xấu trong danh sách dưới đây vào các máy tính bị nhiễm:

* %UserDir%\Application Data\Java\jre6\bin\jucheck.exe

* %UserDir%\Application Data\Java\jre6\bin\zf32.dll

* %UserDir%\Application Data\Microsoft\Internet Explorer\Quick Launch\VPSKEYS 4.3.lnk

* %RootDir%\Program Files\Adobe\AdobeUpdateManager.exe

* %RootDir%\Program Files\Java\jre6\bin\jucheck.exe

* %RootDir%\Program Files\Microsoft Office\Office11\OSA.exe

* %SysDir%\mscommon.inf

* %SysDir%\msconfig32.sys

* %SysDir%\zf32.dll

* %SysDir%\Setup\AdobeUpdateManager.exe

* %SysDir%\Setup\jucheck.exe

* %SysDir%\Setup\MPClient.exe

* %SysDir%\Setup\MPSvc.exe

* %SysDir%\Setup\OSA.exe

* %SysDir%\Setup\wuauclt.exe

* %SysDir%\Setup\zf32.dll

Những file này, khi được khởi động, sẽ tự động liên kết với các trang chủ dưới đây:

* google.homeunix.com

* tyuqwer.dyndns.org

* blogspot.blogsite.org

* voanews.ath.cx

* ymail.ath.cx

Dù ban đầu, có thông báo rằng một số trang chủ (domain) và file nói trên liên quan tới vụ Aurora, nhưng chúng tôi vẫn cho rằng vụ tấn công này không liên quan gì tới Aurora và sử dụng các máy chủ hoàn toàn khác để điều khiển và kiểm soát.

Chúng tôi tin rằng những kẻ chủ mưu có thể có động cơ chính trị và có vẻ trung thành với chính phủ nước Cộng hòa Xã hội Chủ nghĩa Việt Nam. Hiến chương của Hội Chuyên gia Việt Nam là nâng cao tri thức và sự hiểu biết về điều kiện kinh tế, xã hội của các quốc gia Đông Nam Á, theo nguồn Wikipedia.

McAfee đã cập nhật chương trình phát hiện phần mềm xấu vào tháng Giêng, đồng thời chúng tôi cũng cung cấp dịch vụ bảo vệ chống các phần mềm xấu liên quan tới vụ Aurora. Con bọ này vẫn đang trong chế độ hoạt động và các vụ tấn công từ con bọ này hiện vẫn đang tiếp diễn.

Vụ việc này nhấn mạnh thêm rằng, không phải mọi vụ tấn công vi tính đều nhằm mục đích lấy cắp dữ liệu hoặc tiền bạc. Có lẽ đây là bằng chứng mới nhất về chủ trương sử dụng tin tặc và các vụ tấn công vi tính với động cơ chính trị, hiện đang có chiều hướng tăng lên, và đã trở thành một đề tài thường được McAfee đề cập đến trong các ấn phẩm của mình. Trong một bài báo tuyệt vời về Tội phạm vi tính và tin tặc mới xuất bản tháng này, nhà nghiên cứu Francois Paget đã phân tích rất kỹ càng về vấn đề này. Bài báo cũng được đề cập trong số mới nhất của tờ Quarterly Threat Report xuất bản hàng Quý của chúng tôi.

Chúng tôi sẽ tiếp tục cập nhật thông tin đến bạn đọc về các diễn tiến mới của vụ việc này.

Bạn có thể theo sát McAfee CTO trên trang George Kurtz on Twitter

Nguồn: http://siblog.mcafee.com/cto/vietnamese-speakers-targeted-in-cyberattack/

Bản tiếng Việt © 2010 Đông Hiến

Bản tiếng Việt © 2010 talawas

Phản hồi

5 phản hồi (bài “George Kurtz – Đợt tấn công vi tính nhằm vào những người sử dụng tiếng Việt”)

  1. [...] Google xác định trang boxitvn bị tin tặc trong nước tấn công (RFI). – Đợt tấn công vi tính nhằm vào những người sử dụng tiếng ViệtQua proxy.  – Google: Tin tặc tấn công những người chỉ trích dự án bauxite [...]

  2. Lê Quốc Trinh nói:

    TIN TẶC trong các website tiếng Việt

    Ôi dào !!! Tôi biết tỏng chuyện này từ lâu rồi. Từ hồi tháng mười năm ngoái, đột nhiên NORTON lên tiếng báo động cảnh giác tôi rằng có kẻ muốn xâm nhập vào máy vi tính, tôi hỏi ai thì NORTON liệt kê một cái list mang tên China News. Chuyện này tôi đã hỏi ý kiến mấy anh kỹ thuật trong X-CafeVN và báo động cho các anh BBT BauxiteVietNam biết.

    Vì tôi không là dân chuyên môn về Computer cho nên chỉ đành thúc thủ chịu trận, cả hai tháng nay, máy tôi cứ bị nghẽn mạch liên tục mỗi ngày 5-6 lần. Có lúc đang đánh máy bài phản biện cho BVN thì tự nhiên bị mất dữ liệu, nhiều khi vừa đánh vừa SAVE để tránh phá phách.

    Tôi biết “kẻ lạ mặt” đang chú tâm theo dõi, cho nên tránh không liên lạc với các anh BVN, ngại liên luỵ đến các anh, hơn nữa tôi không muốn bài vở tôi bị đánh tráo. Tôi là người đứng ngoài ánh sáng mặt trời, bọn chúng là kẻ lấp ló trong bóng tối như ma quỷ chơi trò bắn sẻ từ hơn nửa thế kỷ nay, có lý gì người lại sợ ma quỷ. Trận tuyến Internet này sẽ còn gay go lắm, đấu tranh còn găng, nhưng đó mới là tiếng nói trung thực của tầng lớp quần chúng yêu mến tự do, dân chủ. Các chính quyền Cộng Sản thường hay rêu rao bảng hiệu Nhân Dân, nhưng thực chất chúng bóp nghẹt quyền tự do ngôn luận, bọn chúng sợ Internet vì không thể kiểm soát chặt chẽ nổi, do đó mới tìm cách xâm nhập quậy phá tan tành các website có uy tín. Mới đây Google đã chính thức tuyên bố rút lui khỏi TQ, kéo theo một công ty khác, chứng tỏ lời tuyên bố của tổng thống Obama khi thăm viếng và gặp gỡ sinh viên TQ: “Hãy tiếp tục đấu tranh dân chủ tự do bằng hình thức Internet”.

    Để kết luận xin có lời chúc mừng các Trang Mạng đã phục hồi chức năng như cũ.

    Thân chào,

    Lê Quốc Trinh, Canada

  3. [...] George Kurtz – Đợt tấn công vi tính nhằm vào những người sử dụng tiếng Vi… [...]

  4. Hoà Nguyễn nói:

    Google xác định trang boxitvn bị tin tặc trong nước tấn công
    Trong một quán cà phê internet ở Sài Gòn.
    Đức Tâm – RFI

    Hôm nay 31/3, Google thông báo đã xác định các vụ tấn công vào vào trang web boxitvn là do tin tặc trong nước. Trang web này là nơi tập trung nhiều tiếng nói phản đối dự án khai thác bauxite của chính phủ Việt Nam, mà đối tác chính là một công ty Trung Quốc.

    Ngày hôm nay 31/3, tập đoàn Google ra thông báo đã xác định được những vụ tin tặc tấn công nhằm bịt miệng những tiếng nói phản đối dự án khai thác bauxite của chính phủ Việt Nam. Đối tác chính thực hiện dự án này là một công ty Trung Quốc.
    Xem tiếp:

    http://www.viet.rfi.fr/viet-nam/20100331-google-xac-dinh-trang-boxitvn-bi-tin-tac-trong-nuoc-tan-cong

  5. Tôn Văn nói:

    HACKER
    (Lẩy thơ)

    Bây giờ rõ mặt … Hacker,
    Lại còn viện cớ (IP không đủ xác định…) đổ lờ cho ai?
    Đem thân („trí-thức“) làm điếm (cho cơ hội, thủ đoạn) một đời,
    Kẻ chê bất nghĩa, người cười vô lương.

  • talawas - Lời tạm biệt

    Nói lời chia tay sau 9 năm tồn tại, chúng tôi thiết tha hi vọng vào sự ra đời của những mô hình báo chí và truyền thông mới, thực hiện bởi những người được trang bị những khả năng và phương tiện mà chúng tôi đã không thể có, với cùng một nhiệt thành phấn đấu cho một nền báo chí tự do cho Việt Nam... đọc tiếp >>>

  • Phản hồi mới nhất của độc giả