Đằng sau vụ phản công hacker ’chấn động toàn cầu’
Thông tin BKIS tuyên bố đã xác định được nguồn gốc cuộc tấn công DDoS nhằm vào Mỹ và Hàn Quốc chưa kịp "gây sốc" ra toàn cầu, thì trung tâm an ninh mạng này đã bị KrCERT yêu cầu đính chính thông tin vì đã hiểu sai đề nghị hỗ trợ và vi phạm nghiêm trọng luật pháp quốc tế khi tự ý tấn công và chiếm quyền điều khiển 2 máy chủ ở nước ngoài.
Tuyên bố "chấn động toàn cầu":
Ngày 12/7, Trung tâm An ninh mạng Bách Khoa (BKIS) công bố trên blog của công ty về việc đã tìm ra 2 máy chủ được đặt tại Anh ra lệnh tấn công DDoS hệ thống website của Mỹ và Hàn Quốc. Với tính chất nghiêm trọng của vụ tấn công DDoS lớn chưa từng có, thông tin trên lập tức được nhiều cơ quan báo chí trong nước và nước ngoài như USA Today, PC World, News.com... đăng tải.
![]() |
BKIS tuyên bố trên blog của công ty rằng đã truy tìm ra được nơi khởi phát cuộc tấn công nhằm vào hệ thống website của Mỹ và Hàn Quốc là từ máy chủ đặt tại Anh |
- Sự cố này là một vấn đề có thể ảnh hưởng đến quan hệ quốc tế giữa Việt Nam và Hàn Quốc, cũng như gây ảnh hưởng đến uy tín của cộng đồng doanh nghiệp CNTT của VN.
Trao đổi với phóng viên VietNamNet về việc này, ông Nguyễn Tử Quảng cho rằng thông tin về việc “KrCERT không có yêu cầu chính thức nào đề nghị BKIS hỗ trợ điều tra thủ phạm...” là không chính xác. Trong email KrCERT/CC gửi ngày 10/7, cơ quan này đã khẩn thiết đề nghị các thành viên của Tổ chức Cứu hộ Sự cố máy tính khu vực Châu Á - TBD (APCERT) trợ giúp với nội dung trích dẫn sau:
"Tấn công ngược", "chiếm quyền điều khiển" hay "khống chế"?
Về kỹ thuật "tấn công ngược" 2 server của BKIS, ông Vũ Ngọc Sơn, Giám đốc Nghiên cứu và Phát triển (BKIS R&D), cho biết tại thời điểm phân tích, các server của hacker vẫn đang tiếp tục truyền các mã độc xuống hệ thống máy tính botnet. Trung tâm này đã khảo sát cả 8 server điều hành tấn công, phát hiện được được 02 server cung cấp các dịch vụ chia sẻ tài nguyên theo một kiểu dịch vụ web.
"Đây là một dạng dịch vụ hoàn toàn thông thường, ai cũng có thể sử dụng", ông Sơn khẳng định. "Thông qua đó các chuyên gia BKIS có được các thông tin giúp ích cho việc phân tích và chỉ ra được server thứ 9, chính là master server (server gốc), nơi tổng chỉ huy các cuộc tấn công vào website chính phủ Hàn Quốc và Mỹ. Do đó, tất cả các công việc này đều tuân theo các quy trình, quy định của luật pháp Việt Nam và Quốc tế".
Trong một trả lời khác với báo chí về việc "khống chế" hai server bị hacker sử dụng vào mục đích tấn công, ông Nguyễn Tử Quảng cũng khẳng định hành động này "hoàn toàn không phải xin phép và bất kỳ ai cũng có thể thực hiện."
Tuy nhiên, trên blog bằng tiếng Anh của BKIS lại mô tả rất rõ về quá trình khống chế 2 server nước ngoài: "Để xác định nguồn gốc các cuộc tấn công (từ chối dịch vụ DDOS - PV), chúng tôi đã tấn công trở lại các máy chủ C&C và giành được quyền điều khiển 2 trong số 8 máy chủ này. Sau khi phân tích các file log (dữ liệu giám sát các hoạt động của hệ thống - PV) của 2 máy chủ này, chúng tôi đã phát hiện được địa chỉ IP của master server là 195.90.118.xxx và được đặt tại Anh, sử dụng hệ điều hành Windows Server 2003".
Về việc VNCERT cho rằng "BKIS cần cung cấp thông tin cảnh báo sự cố về cho trung tâm điều phối quốc gia - VNCERT đồng thời giữ bí mật và chỉ cung cấp thông tin cho các bên liên quan theo đúng tinh thần mà các tổ chức ứng cứu máy tính trên thế giới tôn trọng", Tổng Giám đốc BKIS Nguyễn Tử Quảng đã dẫn khoản 4 điều 43 của Nghị định 64/2007/NĐ-CP của Chính phủ: “Trong trường hợp khẩn cấp có thể gây sự cố nghiêm trọng hay khủng bố mạng, các cơ quan chức năng có quyền tổ chức ngăn chặn các nguồn tấn công trước khi có thông báo, sau đó lập biên bản báo cáo cho cơ quan điều phối”.
"Do sự kiện website Chính phủ Hàn Quốc và Mỹ bị tấn công tê liệt đã diễn ra gần 10 ngày mà chưa tìm ra nguồn phát động tấn công, đây là một tình huống khẩn cấp có nguy cơ ảnh hưởng đến toàn cầu trong đó có Việt Nam, BKIS bắt buộc và được phép thực hiện truy tìm nguồn phát động tấn công, rồi sau đó báo cáo cơ quan điều phối. Hiện tại chúng tôi vẫn khẩn trương tiếp tục tiến hành điều tra cho nên chưa có thời gian để báo cáo. Chúng tôi sẽ thực hiện điều này sau khi đã hoàn thành công việc", ông Quảng nói.
Nhưng rõ ràng Nghị định 64/2007/NĐ-CP của Chính phủ về Ứng dụng CNTT trong hoạt động của cơ quan nhà nước của Việt Nam chắc chắn sẽ không thể áp dụng trong trường hợp các hệ thống mạng máy tính của Hàn Quốc hay Mỹ bị tấn công. Tuy nhiên, việc BKIS tự ý chiếm quyền điều khiển và phân tích các log file trên 2 máy chủ nằm ở nước ngoài vẫn sẽ vẫn nằm trong phạm vi áp dụng của các quy định về luật pháp quốc tế và của nước sở tại đang đặt 2 máy chủ này. Có lẽ chính vì điều đó, phía KrCERT không muốn liên đới tới hành động chiếm quyền kiểm soát máy chủ đặt tại nước ngoài của BKIS.