Toàn cảnh sự cố mất quyền kiểm soát thông tin tại Nội Bài và Tân Sơn Nhất

Màn hình tại 2 sân bay lớn nhất Việt Nam bị chèn thông tin xuyên tạc chủ quyền, tin tặc để lại dấu vết là hình ảnh của một nhóm đến từ Trung Quốc, Bộ công an nhanh chóng vào cuộc, trong khi đó chuyên gia nhấn mạnh về nguy cơ đã được cảnh báo từ lâu.
tin tặc tấn công sân bay và website vietnam airlines

Diễn biến sự việc

Vào hồi 14h ngày 29/07/2016, một số màn hình hiển thị thông tin chuyến bay tại khu vực làm thủ tục của sân bay Nội Bài và Tân Sơn Nhất đã bị chèn hình ảnh và nội dung mang tính xúc phạm Việt Nam, Philippines, xuyên tạc về các vấn đề Biển Đông. Ngay khi phát hiện, tất cả các màn hình đã được tắt đi và kiểm soát chặt chẽ. Nghiêm trọng nhất là sân bay Nội Bài khi hệ thống loa bị chiếm sóng và chèn vào đó những âm thanh phản cảm gây tâm lý lo sợ cho hành khách làm thủ tục bay.

Cùng thời điểm đó website chính thức của Vietnam Airlines đã bị thay đổi hoàn toàn giao diện trang chủ và chèn vào các dòng chữ mang nội dung xúc phạm Việt Nam, Philippines. Đến 17 giờ chiều cùng ngày, trang web của Vietnam Airlines đã có thể truy cập lại bình thường.

tin tặc tấn công sân bay và website vietnam airlines
Tình trạng ùn ứ tại sân bay trước sự việc sân bay bị mất quyền kiểm soát thông tin
Hậu quả của việc bị tin tặc tấn công này là dach sách hơn 400.000 hội viên Vietnam Airlines bị tung lên mạng trong một tập tin có dung lượng 90MB, tuy nhiên nắm bắt tâm lý người dùng internet Việt Nam sẽ chia sẻ và tải tập tin này, bằng cách nào đó tin tặc đã chèn mã độc vào bên trong tập tin, bất cứ ai giải nén và mở tập tin sẽ vô tình kích hoạt malware khai thác lỗi 0-day, chiếm luôn quyền kiểm soát máy tính của những người tải về, nhóm tin tặc khai thác vào yếu tố xài phần mềm Microsoft Office lậu (bản crack) chưa được cập nhật các bản vá lỗi mới nhất từ Microsoft.
Toàn cảnh sự cố mất quyền kiểm soát thông tin tại Nội Bài và Tân Sơn Nhất ảnh 3
Màn hình được tắt để đảm bảo không phát tán thêm nội dung xấu
Toàn cảnh sự cố mất quyền kiểm soát thông tin tại Nội Bài và Tân Sơn Nhất ảnh 4
Toàn bộ thông báo được chuyển qua viết tay
Toàn bộ hoạt động làm thủ tục bay của hành khách tại hai sân bay này được chuyển qua phương thức thủ công là viết tay, gây ra hiện tượng chậm trễ giờ bay của hàng trăm hành khách vào thời điểm đó, cùng với đó là tâm lý lo sợ, không hiểu chuyện gì xảy ra, bên cạnh việc kiểm soát tình hình thì an ninh tại hai sân bay cũng được thắt chặt.

Nhận định của các chuyên gia

Ông Ngô Tuấn Anh, Phó chủ tịch phụ trách an ninh mạng Bkav, cho biết: “Việc website bị deface và hệ thống âm thanh, màn hình thông báo tại nhà ga bị chiếm quyền cho thấy hacker đã xâm nhập được sâu vào hệ thống. Khả năng lớn là máy quản trị viên đã bị kiểm soát, theo dõi bởi phần mềm gián điệp (spyware). Đây là cách thức tấn công không mới, thông thường các phần mềm gián điệp này lợi dụng lỗ hổng an ninh trong file văn bản (Word, Excel, Power Point) để phát tán. Các phần mềm gián điệp này không phải là những virus lây nhiễm một cách ngẫu nhiên vào hệ thống mà được phát tán một cách có chủ đích". Thông qua các máy tính đã bị mã độc kiểm soát, hacker có thể cấu hình thay đổi tên miền của website để trỏ về trang web giả mạo, cấu hình thay đổi thông tin hiển thị trên màn hình và nội dung trên hệ thống loa phát thanh thông báo

Ông Võ Đỗ Thắng, Giám đốc Trung tâm đào tạo và an ninh mạng Athena: thông thường các nhóm tin tặc khi tấn công vào một mục tiêu nào đó là đã xâm nhập vào hệ thống từ lâu, cắm tại đó trong một thời gian dài, chỉ chờ có những sự kiện hoặc thời điểm thích hợp sẽ thực hiện kích hoạt tấn công. "Theo tôi thì sẽ còn diễn ra nhiều cuộc tấn công khác nữa, chứ không phải đây là vụ cuối cùng, nhóm 1937cN có thể đã cắm trong nhiều hệ thống của ta trong thời gian qua", ông Võ Đỗ Thắng nhận định.

Ông Ngô Trần Vũ - Giám đốc điều hành Công ty bảo mật NTS Security cho biết Kaspersky đang tìm hiểu phương thức tấn công của tin tặc, trước mắt để an toàn, khách hàng của Vietnam Airlines nên mau chóng thay đổi mật khẩu quản lý tài khoản của mình để tránh bị xem trộm dữ liệu.

Theo ông Hồng Phúc Nguyễn - chuyên gia công nghệ thông tin, cuộc tấn công đã được chuẩn bị ít nhất là từ ngày 25/7/2016. Ngày 27/7/2016 việc hack có vẻ đã thành công tốt đẹp, hacker chui sâu để tiếp cận hệ thống quản lý nội bộ của Vietnam Airlines và đã tới giai đoạn thu thập dữ liệu, hacker đã tạo pastebin chứa các link tải file này. Ngày 29.07.2016 hacker lấy dữ liệu lần cuối và cập nhật link tải mới nhất gói dữ liệu khách hàng của VNA

Đại diện các hãng hàng không và sân bay nói gì?

Hãng hàng không quốc gia Việt Nam (Vietnam Airlines) đã đăng tải trên website chính thức của mình thông cáo báo chí về sự việc xảy ra với hệ thống máy tính tại sân bay. Hãng đang triển khai các phương án dự phòng chủ động, phối hợp với an ninh sân bay tăng cường kiểm soát hành khách tại sân bay đảm bảo hoạt động khai thác an toàn và thực hiện các biện pháp cần thiết đảm bảo lợi ích khách hàng. Liên quan đến dữ liệu hội viên chương trình Bông sen vàng, Vietnam Airline cho biết bước đầu đã kiểm soát toàn bộ dữ liệu và sẽ triển khai các biện pháp đảm bảo lợi ích tốt nhất cho hội viên. Hãng cũng đề nghị hội viên đổi ngay mật khẩu tài khoản bông sen vàng sau khi hệ thống được khắc phục.

tin tặc tấn công sân bay và website vietnam airlines
Đại diện một hãng hàng không nói: “Tại Tân Sơn Nhất tất cả các hệ thống Internet đã bị tắt, nhân viên các hãng phải check-in bằng tay từng hành khách một gây ra sự chậm trễ hơn so với bình thường”

Lãnh đạo Cảng Hàng không Đà Nẵng và Phú Bài (Huế) cho biết sau khi hai cảng Nội Bài và Tân Sơn Nhất bị tin tặc tấn công, Cục Hàng không Việt Nam đã có chỉ đạo để có sự đối phó. Vì vậy, hiện tại hai cảng hàng không này vẫn đảm bảo an toàn.

Bộ Công an vào cuộc

Thiếu tướng Đoàn Duy Khương, Giám đốc Công an Hà Nội, cho biết các đơn vị nghiệp vụ của Công an Hà Nội đã vào cuộc điều tra. Hiện cơ quan xác định đây là sự cố tin học, mọi thông tin phải chờ đến khi có kết quả điều tra chính thức.

Cục trưởng Cục An ninh mạng (A68) - Trung tướng Hoàng Phước Thuận (Bộ Công an) cho biết hiện đang triển khai lực lượng và phương án điều tra sự cố mất quyền kiểm soát thông tin tại hai sân bay nói trên.

Những nguy cơ đã được dự báo trước

Những năm qua, Bkav đã nhiều lần cảnh báo về phần mềm gián điệp tại Việt Nam. Đơn cử trong năm 2013, Bkav đã cảnh báo và phân tích 2 lỗ hổng MS13-051 và MS12-027 trên phần mềm Microsoft Word là 2 “vũ khí” được tin tặc sử dụng trong chiến dịch phần mềm gián điệp hoành hành tại Việt Nam. Lỗ hổng MS13-051 tồn tại trong cơ chế xử lý ảnh PNG của Microsoft Office 2003 đã bị hacker âm thầm khai thác từ năm 2009, và trong suốt 4 năm 2009 - 2013, nhiều người dùng tại Việt Nam có thể đã trở thành nạn nhân của tội phạm mạng mà không hề hay biết.

Theo ông Võ Đỗ Thắng, Giám đốc Trung tâm An ninh mạng quốc tế Athena, những lỗ hổng trên website của Vietnam Airlines đã được giới bảo mật tại Việt Nam biết đến và liên tục cảnh báo từ trước. Tuy nhiên, Vietnam Airlines đã không khắc phục lỗi này. "Có thể nhóm hacker đã dò ra lỗ hổng từ lâu và xâm nhập sẵn, chỉ chờ thời cơ phù hợp để ra tay"

Danh tính Nhóm tin tặc 1937cN

1937cN là nhóm tin tặc khá nổi tiếng và thuộc hàng mạnh nhất Trung Quốc. Thống kê từ website hack-cn.com, nhóm hacker 1937cN xếp số 1 với tổng số 36.820 cuộc tấn công đã thực hiện.

tin tặc tấn công sân bay và website vietnam airlines
Trên trang online RCS Magazines, 1937cN tự giới thiệu gồm các thành viên với biệt danh: Allen Reese, BonEs, Webr0bot, SiLing, Learner, 4n0wGZ, Any9aby, Rascal, nhưng không có thông tin liên lạc của từng cá nhân. Trong đó, người đứng đầu tự xưng là th4ck1937, kèm địa chỉ email và Skype. Cũng trên trang giới thiệu này, nhóm 1937cN tự xưng đến từ Trung Quốc. Trước đây, nhóm này cũng đã gây ra nhiều vụ tấn công tương tự tiêu biểu như:

- Năm 2013, nhóm này tấn công trang web thegioididong.com và tên miền Facebook Việt Nam, đưa ra nhiều lời khiêu khích.

- Tháng 5/2014, thời điểm Trung Quốc đặt trái phép giàn khoan HD-981 vào vùng biển Việt Nam, nhóm tin tặc 1937cn đã tấn công hàng trăm website nước ta.

- 02/09/2014, khoảng 450 website tại Việt Nam cũng bị tấn công bởi nhóm tin tặc 1937cN.

- Cách thức tấn công của nhóm tin tặc 1937cN thường là thay đổi giao diện trang chủ. Theo thống kê của Bkav, ở thời điểm giữa năm 2015 cho thấy có khoảng 1.000 website của Việt Nam, trong đó có 15 trang của cơ quan chính phủ (gov.vn) và 50 trang giáo dục (edu.vn) bị tấn công mạng bởi nhóm tin tặc 1937cN.

Hội viên Vietnam Airlines và người dùng Internet cần làm gì?

Với hội viên của Vietnam Airlines, cần đổi pass tài khoản Lotusmile và và mật khẩu email tại một máy tính chưa truy cập vào các trang web bị tấn công (máy tính thực hiện đổi mật khẩu cần được bảo mật rõ ràng, ổn định không có các dấu hiệu bị lây nhiễm virus và có phần mề diệt virus thường trực).

Không truy cập vào bất kỳ trang web nào được cho là đang bị tấn công bởi tin tặc có thể đã cài sẵn mã độc vào trang web và cần thời gian để xâm nhập máy tính của người dùng.

Nếu lỡ truy cập trang web hoặc lỡ tải và mở tập tin chứa thông tin khách hàng của Vietnam Airlines, hãy reset máy tính, quét virus toàn bộ hệ thống, đổi mật khẩu trên một máy tính an toàn khác và nghiêm trọng hơn là xoá và khôi phục lại toàn bộ dữ liệu của máy tính đã lỡ mở file thông tin khách hàng vì tin tặc đã chèn mã độc vào bên trong tập tin.

Tổng hợp 

Anh Tú

Tin liên quan

Bạn đọc bình luận

Vui lòng nhập tiếng Việt có dấu
Nhập mã bảo mật (*)    Refresh

Cùng chuyên mục