Thành viên diễn đàn HVA tìm và vô hiệu hóa Sinh Tử Lệnh

Nhóm tin tặc Sinh Tử Lệnh nổi lên kể từ khi hack vào diễn
đàn X-cafevn.org và Dân Luận ngày 28/2/2010, đánh cắp thông tin
cá nhân của các thành viên và <a
href="http://danluan.org/node/4484">tung lên mạng tại trang
sinhtulenh.org</a>. Thực ra họ đã có nhiều hoạt động phá
hoại từ trước, nhưng chưa lấy Sinh Tử Lệnh làm danh xưng.
Rất nhiều trang web nổi tiếng đã trở thành nạn nhân của
Sinh Tử Lệnh, trong đó phải kể đến blog Osin Huy Đức, trang
Minh Biện, Talawas, Bauxite Việt Nam, blog Anh Ba Sàm, blog của nhạc
sĩ Tô Hải, Thông Luận, v.v...

<div class="boxright220"><img
src="http://danluan.org/files/u1/sub02/sinhtu1.jpg" width="240" height="465"
alt="sinhtu1.jpg" /><div class="textholder">Logo nhóm Sinh Tử Lệnh để
lại trên trang web nạn nhân</div></div>
Hoạt động tấn công trên mạng của nhóm Sinh Tử Lệnh rất
đa dạng, từ đánh cắp thông tin cá nhân (ví dụ mật khẩu
hòm thư hoặc quyền điều khiển trang blog) bằng cách gửi email
có virus hoặc lừa nạn nhân vào những trang web giả mạo
(phishing) cho đến tấn công từ chối dịch vụ quy mô lớn. Sinh
Tử Lệnh đã đột nhập vào một số trang cung cấp phần mềm
gõ tiếng Việt như VPS, Unikey hay VietKey, thay thế bộ gõ ban
đầu bằng phiên bản có chứa mã độc (trojan), để biến máy
tính của người sử dụng thành bàn đạp tấn công các trang
web lề trái theo lệnh của họ. Nạn nhân gần đây nhất của
những mạng botnet (mạng gồm nhiều máy tính bị nhiễm virus)
của Sinh Tử Lệnh là Dân Làm Báo, Tin Tức Hàng Ngày, HVA Online
và cả VietnamNet.

Rất may cho chúng ta là một số kỹ thuật viên bên mạng HVA
Online đã bắt tay vào phân tích mã virus của nhóm Sinh Tử
Lệnh, từ đó phát hiện ra rất nhiều phiên bản khác nhau của
virus Sinh Tử Lệnh. Họ đã gửi những phân tích của mình tới
các hãng phần mềm diệt virus nổi tiếng thế giới để cập
nhật cách diệt (trước đó người ta chỉ biết tới một
phiên bản là <a href="http://danluan.org/node/6855">Vecebot</a>), giúp
loại bỏ loại trojan độc hại này khỏi máy của người sử
dụng, nếu máy tính có cài trình diệt virus của hãng. Họ cũng
đã tìm ra những trung tâm điều hành mạng botnet, và thông báo
với nhà cung cấp dịch vụ để đóng cửa các server vi phạm
pháp luật này.

Độc giả có thể hỗ trợ các thành viên HVA Online trong cuộc
chiến chống lại Sinh Tử Lệnh bằng cách:

- Đọc về cách kiểm tra máy có bị nhiễm virus của Sinh Tử
Lệnh hay không ở đây:
http://www.hvaonline.net/hvaonline/posts/list/540/39641.hva

- Thông báo rộng rãi cho bạn bè mình cách kiểm tra máy tính

- Chuyển những mẫu nghi có virus tới thành viên HVA, hoặc

- Giúp các kỹ thuật viên HVA chuyển mẫu virus đã bị phát
hiện tới các hãng diệt virus (càng nhiều người báo thì họ
càng ưu tiên cập nhật cách diệt sớm hơn).

Theo nhận xét của Admin PXMMRF trên HVA Online thì đây là một
tổ chức có khá nhiều thành viên và nguồn tài chính dồi dào:

<div class="special_quote">Như chúng ta đã thấy qua quá trình giải
mã (RCE) của anh TQN, Sinh Tử Lệnh (STL) có khá nhiều webserver,
trên 10 cái, đặt ở nhiều quốc gia mà điển hình là Hoa Kỳ
và Nga, chuyên dùng làm master-webserver, chỉ huy và điều khiển
các cuộc tân công DDoS vào các trang mang Việt Nam. Nạn nhân
mới đây chính là HVA. Nạn nhân mới nhất là Vietnamnet.net. Hôm
nay trên báo SGGP, Vietnamnet đã xác nhân thông tin website này bị
DDoS. Việc bị DDoS đã làm cho website này luôn bị quá tải.
Việc truy cập đến các trang của website khá chậm, đăc biệt
là các trang đăng tải các hình ảnh.

Tuy có nhiều master webserver như vây, nhưng thưc tế gần đây STL
chỉ sử dung thường xuyên một số master website-webserver. Chúng
là:

- second.dinest.net
- map.priper.info
- speed.cyline.org
- net.iadze.com
- một, hai website-webserver khác

STL thường chuyển nhiệm vụ thường trực chỉ huy điều
khiển mang bot (in-charge) từ webserver này sang webserver khác, nhằm
làm chúng ta bối rối trong việc theo dõi. Ngoài ra chúng còn thay
đổi cổng truy cập, thí dụ từ 80 TCP sang 8080 TCP hoăc sang 443
TCP HTTPS.... Gần đây STL cũng đã dời webserver second.dinest.net
từ một địa chỉ IP tĩnh cũ sang một đia chỉ IP tĩnh mới,
để đánh lạc hướng người theo dõi.

Các webserver nói trên hầu hết hay tất cả chỉ hosting (đặt)
một website duy nhất làm nhiệm vụ master webserver cho mang bot.
Các webserver nói trên đa phần là các dedicated server (server thuê
riêng), chỉ một hai cái có thể là virtual server (Hai hay vài
virtural server cùng trên một máy chủ).

Để theo dõi, điều chỉnh, bảo dưỡng, giải quyết các trục
trăc về KT và hành chính từ xa (remote management) tất cà các
master webserver nói trên thường xuyên, hàng giờ thì chắc chắn
STL phải cần ít nhất là từ 3-4 người có trình độ KT khá
và tương đối thông thao ngoai ngữ (tiếng Anh). Thông thao đươc
hiểu là trao đổi đươc qua phone, khi khẩn cấp và qua email.
Chứ không phải là người có trình độ tiêng Anh ngớ ngẩn
như một thành viên non nớt của STL viết một câu tiếng Anh
dớ dẩn như vừa qua.

Ai đã từng đặt một webserver ở nước ngoài đều biết rõ
và trải nghiệm điều này.

Chi phí thuê nhiều webserver đặt ở nước ngoài như STL đang
làm, không hề nhỏ chút nào. Ai đã thuê dedicated server nước
ngoài cũng biết rõ điều này. Các chi phí phụ, cần cho
webserver hoạt động ổn định thường lai khá cao.

Để làm được rất nhiều việc như ta đã thấy
hiện nay (không chỉ theo dõi quản lý các webserver, mà còn
nhiều việc khác, như viết, sưu tầm các mã virus, trojan, tổ
chức và thưc hiện việc gây nhiễm hàng trăm ngàn máy zombies
ở VN và nước ngoài với virus tạo ra, theo dõi hiệu quả của
quá trình....) STL cần nhiều nhân lực. STL cũng còn phải có
một nhóm chuyên đọc, theo dõi nôi dung và các bài viết trên
rất nhiều website, blog trên mạng, để quyết định hay xin chỉ
thị cấp trên là đánh (DDoS hay khui thông tin cá nhân nói xấu
người chủ trì trang mạng) ai? Đánh như thế nào (đánh cảnh
cáo - có thể như với vietnamnet.net, hay đánh cho sụp hẳn - như
với HVA)? Đánh thật hay đánh giả? (Đánh giả để che giấu
mục đích thật, sâu xa của STL)..... Các bạn thử đoán xem
cần bao nhiêu người để làm cho đạt yêu cầu (của cấp
trên) việc này?

Nếu ai đó nói về một vài công việc khác mà có thể STL đang
làm, chúng ta có thể phải kinh ngạc về khối lương công việc
họ phải làm và thán phục về ý tưởng sâu xa, thâm hiểm
của họ.

Tôi nghĩ rằng STL là một tổ chức khá chặt chẽ, với biên
chế hàng chục người, có thể lên đến 40-50 người, kể cả
cấp trên trực tiếp. Tất nhiên STL gồm nhiều thành phần trong
đó có vài bạn nhỏ VN biết ít nhiều về virus, nhưng dại
dột trong cuộc sống. Nhưng cũng có những những người có
trình độ khá, hay rất khá về virus, IT hoặc có những ý
tưởng độc đáo, thông minh. Vì vậy không nên đánh giá STL
quá thấp, như một số bạn đã viết. Cũng không nên đánh giá
quá cao, để sợ.</div>

Điều lạ lùng là nhóm Sinh Tử Lệnh tấn công dai dẳng vào
một trang tin lớn của Việt Nam, đó là VietnamNet, mà không
thấy cơ quan chức năng nào vào cuộc để tìm ra thủ phạm:

<div class="special_quote">Sáng nay vô thử Vietnamnet thì vẫn tràn
ngập trong "biển lửa". Tất cả các trang mạng thuộc Vietnamnet
đều chập chờn và đa số là bị lỗi 404.

Hôm trước có vô được nhưng cực kỳ chậm. Điều này chứng
tỏ cho đến nay Vietnamnet vẫn còn bị tấn công nặng nề,
thậm chí còn nặng nề hơn mấy hôm trước. Botnet của Sinh Tử
Lệnh vẫn tiếp tục "crawl" (dựa thông tin lấy từ con vmware
đang chạy thử) và dường như Vietnamnet ứng dụng javascript
để redirect nhưng chỉ thuần tuý redirecting nhưng không kiểm
soát cụ thể cái gì được redirect và cái gì không được
redirect. Hơn nữa, botnet của Sinh Tử Lệnh đập thẳng vô
những trang chính của của Vietnamnet và sau đó tiếp tục "crawl"
thì không có cách gì đỡ nổi.

Về mặt pháp lý, lẽ nào một trang web lớn như Vietnamnet, một
trong những cơ quan ngôn luận của nhà nước mà vẫn bó tay
thúc thủ? Thông tin giải mã đã được anh em ở HVA công bố
quá đầy đủ. Các cơ quan chức năng thừa sức mạnh để làm
việc xuyên qua những channel chính thức để thộp cổ bọn tội
phạm này. Nếu chuyện tường lửa đã được áp dụng để
cản đến mức độ từng blog mà không thể dùng tường lửa
để cản các master bots thì đây quả là chuyện kỳ lạ.</div>

Để bảo vệ chính mình, hãy sử dụng ít nhất một chương
trình diệt virus được cập nhật thường xuyên. Nếu không có
tiền mua, độc giả có thể dùng tạm các bản miễn phí nổi
tiếng sau đây:

- <a href="http://free.avg.com/ww-en/homepage">AVG Free</a>

- <a href="http://www.avast.com/free-antivirus-download">AVAST! Free</a>

- <a href="http://www.avira.com/free">AVIRA Free</a>

- <a
href="http://www.microsoft.com/en-us/security_essentials/Default.aspx">Microsoft
Security Essentials</a>

***********************************

Entry này được tự động gửi lên từ trang Dân Luận
(http://danluan.org/node/9739), một số đường liên kết và hình
ảnh có thể sai lệch. Mời độc giả ghé thăm Dân Luận để
xem bài viết hoàn chỉnh. Dân Luận có thể bị chặn tường
lửa ở Việt Nam, xin đọc hướng dẫn cách vượt tường lửa
tại đây (http://kom.aau.dk/~hcn/vuot_tuong_lua.htm) hoặc ở đây
(http://docs.google.com/fileview?id=0B_SKdt9lFNAxZGJhYThiZDEtNGI4NC00Njk3LTllN2EtNGI4MGZhYmRkYjIx&hl=en)
hoặc ở đây (http://danluan.org/node/244).

Dân Luận có các blog dự phòng trên WordPress
(http://danluan.wordpress.com) và Blogspot (http://danluanvn.blogspot.com),
mời độc giả truy cập trong trường hợp trang Danluan.org gặp
trục trặc... Xin liên lạc với banbientap(a-còng)danluan.org để
gửi bài viết cho Dân Luận!

Không có nhận xét nào:

Đăng nhận xét