Khoa Kỹ Vấn Đạo (Đế Chế Kinh Tế Mới Tại Nước Việt)
Chương 199: BKAV Điều tra
- Cộc… cộc.. cộc
- Vào đi!
Trưởng phòng Quân đẩy cửa đi vào theo sự cho phép của Giám đốc Trần Công Luận. Nhác thấy sắc mặt của vị giám đốc không được tốt, Quân đã biết đã xảy ra chuyện gì đó không hay rồi.
Cũng không để cho Quân kịp hỏi cái gì, Trần Công Luận đã xoay màn hình máy tính về phía Quân rồi nói:
- Cậu đọc cái này đi!
Quân nghi hoặc nhưng vẫn y theo lời vị Giám đốc ngồi xuống đối diện ông ta chăm chú nhìn vào màn hình.
Ngay khi vừa lướt qua được nội dung những dòng đầu tiên Quân đã trợn mắt ngoác mồm lên rồi vội vã nhìn Trần Công Luận giải thích:
- Thưa sếp, mail này không phải do em gửi!
Trần Công Luận gật đầu:
- Đương nhiên tôi biết không phải do cậu gửi! Cậu cứ đọc hết nội dung mail đi rồi cho tôi biết ý kiến về vấn đề này.
- Dạ…
Quân gật đầu vâng dạ rồi tiếp tục tập trung đọc nốt nội dung còn lại của email đe dọa.
Sau chừng ba mươi giây, Quân ngẩng đầu lên suy tư giây lát rồi trả lời:
- Sếp, theo em chúng ta không cần vội hoảng hốt. Trước mắt em sẽ cho nhân vien kiểm tra lại hệ thống xem những nội dung trong này là thật hay giả, từ đó mới có biện pháp phản ứng thích hợp được.
Trần Công Luận nghe xong gật đầu:
- Vậy cậu cho người làm nhanh đi!
- Vâng! Em đi xử lý ngay!
Nói xong, Quân hấp tấp đứng lên chạy ngược về phòng kỹ thuật.
Đám nhân viên của Quân đang ngồi thảo luận thấy hắn vừa lao đi lại đã lao ngược trở về, vẻ mặt lại còn lo lắng thì nhao nhao đứng lên. Một người trong số này lên tiếng:
- Anh Quân? Sao thế?
Quân vội vàng hạ lệnh:
- Các cậu, Giám đốc vừa nhận được email đe dọa tống tiền. Rất có thể hệ thống dữ liệu của chúng ta đã bị tin tặc tấn công và khống chế. Mau tiến hành kiểm tra lại cho tôi!
Quân nói xong thì đám nhân viên loạn thành một đoàn:
- Cái gì? Sao lại có thể vậy được?
- Trời đất, bọn nào lại to gan thế?
- Thật hay giả thế? Tôi không tin chúng làm được!
- …
Quân đứng một bên sốt ruột gắt lên:
- Được rồi, các cậu không nghe tôi nói cái gì à? Mau hành động đi!
Đám nhân viên thấy Quân nổi giận vội vàng sắp xếp chia nhau thao tác công việc.
Sau chừng mười phút, kết quả sơ bộ đã tới tay Quân. Mặc dù các máy chủ vẫn đang hoạt động để đảm bảo công năng vận hành của hệ thống nhưng toàn bộ đã mất quyền khống chế.
Tin tức này lập tức khiến Quân rơi vào hoang mang. Ngồi thừ người ra giây lát hắn run run bấm điện thoại gọi cho Trần Công Luận, vị giám đốc dường như là đang trực nên lập tức nhận máy:
- Sao rồi cậu Quân?
- Dạ, báo cáo sếp, đúng… đúng là chúng ta bị hack rồi ạ. Toàn bộ máy chủ đã bị khống chế!
Đầu dây bên kia tĩnh lặng mất mấy giây sau đó mới có tiếng phản hồi:
- Vậy hướng xử lý bây giờ ra sao? Chẳng lẽ phải chuyển tiền cho bọn chúng?
Quân cau mày suy nghĩ giây lát sau đó mới lên tiếng:
- Thưa sếp, có lẽ việc này phải nhờ tới đơn vị chống tin tặc chuyên nghiệp tới can thiệp. Xin sếp phê duyệt chủ trương để bọn em mời gấp chuyên gia của BKAV đến xử lý!
Trần Công Luận lập tức gật đầu:
- Được, các cậu hành động gấp đi! Sự việc khẩn cấp, cái gì cần cứ làm trước báo cáo sau, tôi đồng ý hết!
- Dạ, em biết rồi sếp! Chào sếp!
Quân nói xong thì cúp máy rồi lại vội vàng gọi cho người bạn tên Trình đang làm Trưởng bộ phận Chống tin tặc và xử lý khủng hoảng của Công ty BKAV để yêu cầu cử nhân sự tới hỗ trợ
- Alo, Quân à? Sáng sớm gọi mình có việc gì vậy? – Tiếng Trình vang lên.
Quân cũng không dài dòng mà vào thẳng vấn đề:
- Trình hả? Hệ thống máy chủ của bên tôi đang bị tin tặc khống chế, ông có thể lập tức sang bên này xử lý được không?
- Sao? Nghiêm trọng vậy à?
- Uhm, bọn chúng chỉ cho chúng tôi nửa ngày để chuyển khoản vào tài khoản của chúng ở nước ngoài, nếu không bọn chúng sẽ phá hủy hệ thống và công bố thông tin khách hàng ra bên ngoài làm ảnh hưởng tới uy tín của công ty.
Trình cân nhắc một chút rồi gật đầu:
- Sự vụ hơi gấp, tôi sẽ báo cáo lại lãnh đạo rồi cùng sang bên cậu. Giám đốc bên cậu không đi công tác chứ?
Quân hiểu ý Trình, dù sự việc có gấp nhưng đây rõ ràng vẫn là một vụ giao dịch nên cần lãnh đạo hai bên có thỏa thuận và thống nhất về giá cả dịch vụ trước khi thực hiện. Trình không thể tự ý đưa người sang bên này xử lý sau đó mới bàn bạc phí được.
- Cậu yên tâm, sếp tôi đang ở nhà. Mau lên nhé!
- Được rồi! Ba mươi phút nữa chúng tôi có mặt!
**************
Bốn mươi phút sau,
Giá cả và các điều khoản cơ bản rất nhanh được Trần Công Luận và giám đốc kinh doanh của BKAV thông qua. Theo đó đội ngũ nhân sự của BKAV do Trưởng bộ phận Chống tin tặc và xử lý khủng hoảng Lê Công Trình trực tiếp dẫn đầu đang tích cực làm việc với đội ngũ kỹ thuật của FPT Telecom.
Trình khi này là người đang lên tiếng:
- Quân, chính sách sao lưu giữ liệu của công ty như thế nào? Lần gần đây nhất là khi nào?
Quân lập tức trả lời:
- Hai ngày một lần và bắt đầu vào 10h đêm các ngày lẻ trong tháng.
Trình đưa tay lật xem đồng hồ giây lát rồi nói:
- Tối qua là 27, vậy nghĩa là tối qua vừa có một đợt sao lưu đúng không?
Quân gật đầu:
- Đúng thế!
- Quá trình sao lưu có gặp vấn đề gì không?
Quân đưa mắt nhìn về phía một người nhân viên, người này lập tức hiểu ý trả lời:
- Báo cáo các anh, tối qua mọi việc diễn ra bình thường không gặp cản trở gì cả.
Nhận được câu trả lời khẳng định, Trình khẽ thở phào rồi nói:
- Tốt! Vậy là dữ liệu có thể backup được cơ bản. Trường hợp dữ liệu máy chủ có bị xóa thì chúng ta vẫn có thể khôi phục được.
Hơi dừng lại một chút Trình quay sang một người nhân viên trong đội hỏi:
- Cậu Huy, kết quả kiểm tra sơ bộ thế nào?
Huy nghe Trình hỏi thì lập tức lên tiếng:
- Báo cáo sếp, Hệ thống mạng của công ty này sử dụng một Hardware Firewall (HF) của CISCO có chức năng VPN (1), một Proxy Server kiêm luôn chức năng làm Software Firewall (SF) chạy trên nền Linux. Toàn bộ hệ thống được đặt sau Firewall (tường lửa), biệt lập hoàn toàn với Internet và không chấp nhận bất cứ một kết nối nào từ bên ngoài. Như vậy các cuộc tấn công từ ngoài vào sẽ được loại bỏ ngay bởi HF.
Trình nghe xong thì cau mày suy luận, nếu đúng như những gì cậu nhân viên nói thì sẽ chỉ có hai khả năng được đặt ra, một là hệ thống đã bị tấn công từ bên trong bởi nhân viên của công ty, hai là HF có lỗi và bị khai thác lỗi đó.
Nghĩ tới đây, Trình ra lệnh cho nhân viên:
- Các cậu lập tức rút cable của toàn bộ máy chủ ra khỏi hệ thống mạng cho tôi.
- Vâng, sếp!
Nhân viên lập tức răm rắp làm theo lời của Trình theo đó màn hình các máy chủ này lập tức xuất hiện những hình hoạt hình nhảy múa và rồi tất cả chỉ còn một màu đen!
- Cậu Huy, kiểm tra ngay phần HF xem sao.
Huy đứng lên cẩn thận xem xét tới gần ba mươi phút rồi mới quay lại báo cáo:
- Sếp, đây là loại HF hiện đại vào bậc nhất của CISCO vào thời điểm hiện tại. Firmware (2) của HF đã được cập nhật phiên bản mới nhất từ nhà cung cấp CISCO và tính tới thời điểm cuộc tấn công bị phát hiện, vẫn chưa có một lỗi bảo mật có thể khai thác nào về dòng HF này được nhà cung cấp cũng như các website bugtraq thông báo. Đồng thời em kiểm tra máy chủ thì toàn bộ các máy chủ đó đã bị xóa sạch sẽ. Trên ổ cứng của 3 máy chủ chỉ còn lại một tập tin 0wned. Như vậy là bọn chúng đã phi tang sạch sẽ. Mọi cố gắng phục hồi dữ liệu trở nên vô nghĩa khi ổ cứng bị ghi đè lên một bảng FAT mới.
Nghe tới đây thì Trình hiểu điều này cũng đồng nghĩa với việc các đầu mối để điều tra cuộc tấn công đã bị xóa sạch và cuộc điều tra lại cuộc tấn công của hacker được đưa vào một ngõ cụt tối tăm.
Lại trầm ngâm thêm giây lát Trình lại quay sang Huy nói:
- Cho tôi kiểm tra email bọn tin tặc đã gửi tới cho Giám đốc bên FPT Telecom.
Dữ liệu sau đó rất nhanh có trên tay Trình. Phân tích email header và log của mail server, hắn nhận ra rằng email này được gửi từ IP 192.168.4.36. Lần theo địa chỉ IP này Trình biết được email này được gửi từ Bộ phận quản lý khách hàng và chiếc máy sở hữu địa chỉ IP này chính là một máy trạm (workstation) làm việc của nhân viên tên Nguyễn Việt Hoàng - quản lý một trang tin trong công ty. Máy tính này sử dụng hệ điều hình Windows 2000 Professional.
Đã lần ra được manh mối, Trình lập tức yêu cầu Quân cho người đi tháo ổ cứng của máy tính này, gắn nó vào một máy tính độc lập với mạng của FPT Telecom và đăng nhập với mật khẩu của Administrator để bắt đầu quá trình kiểm tra. Hệ thống hoạt động bình thường. Các phần mềm được cài đặt đều là phần mềm nằm trong quy định của công ty.
Mọi thứ không có gì bất thường cả. Tuy nhiên, mọi thứ bắt đầu bất thường khi Trình kiểm tra tới các tài khoản người dùng trên hệ thống. Ngoài các tài khoản Administrator, Guest, Nguyễn Việt Hoàng, Trình và đồng sự đã tìm thấy một tài khoản khác.
Sau khi được Nguyễn Việt Hoàng xác nhận anh ta không hề cài thêm bất cứ một account nào trên hệ thống. Như vậy tài khoản này có thể là một account được tạo ra để lần sau đăng nhập dễ dàng hơn.
Tiếp tục kiểm tra các xử lý (process) đang chạy trên hệ thống, Trình tìm ra một process có cái tên hay tuyệt: system32.exe. Process này nằm ngay cạnh system32.dll (một tập tin thư viện động của hệ thống).
Khi nhìn thấy thứ này, Trình phải công nhận rằng tay hacker này cũng rất thông minh khi đặt tên của backdoor (3) trùng tên với một tập tin hệ thống. Nó dễ dàng đánh lừa những người thiếu kinh nghiệm và cả những người có kinh nghiệm nhưng thiếu cẩn thận. Bằng lệnh dir cùng khóa chuyển /s Trình nhanh chóng xác định được vị trí của tập tin system32.exe. Nó được đặt tại 2 thư mục là WIN2K/SYSTEM32 và WIN2K/SYSTEM32/DLLCACHE.
Sau khi quyết định chạy thử tập tin system32.exe với đủ các khóa chuyển, Trình xác định được nó chính là netcat. Một công cụ quen thuộc của các quản trị viên và cũng là một backdoor lợi hại của những kẻ xâm nhập. Nó như một chiếc đũa thần cho những kẻ xâm nhập với hàng loạt những chức năng như kết nối tới một máy chủ, quét cổng, truyền tải tập tin, và hoạt động như một backdoor.
Kiểm tra thư mục Start Up của hệ thống – hoàn toàn bình thường, không hề có một file nào gọi tới system32.exe. Kiểm tra hệ thống System Registry, Trình chợt mừng húm vì cảm giác mình khám phá ra thêm một manh mối, system32.exe đã được gọi khi máy khởi động với khóa chuyển như sau: system32.exe -p 23985 -d -L -e cmd.exe.
Tiếp đó, Trình sử dụng telnet vào localhost với port 23985 và kết quả nhận được là một shell lệnh của hệ thống Windows với dấu nhắc C:> quen thuộc.
Một bức tranh sơ lược nhanh chóng được phác họa trong đầu Trình: hacker tấn công vào máy trạm của nhân viên Nguyễn Việt Hoàng để chiếm quyền điều khiển. Sau đó dùng máy này tấn công tiếp vào các máy trong trụ sở chính và gửi email để “xin tiền". Có vẻ hợp logic nhưng Trình cảm thấy vẫn có vài điểm chưa thuyết phục, hắn nâng cằm lẩm bẩm:
- Nhưng rốt cục đó là cái gì được chứ?
Ghi chú:
(1) VPN: Virtual Private Network: mạng riêng ảo. Sử dụng công nghệ VPN có thể thiết lập một mạng LAN cho công ty thông qua Internet giúp cho nhân viên của công ty có thể làm việc tại bất cứ đâu.
(2) Firmware: là một chương trình máy tính được tích hợp sẵn trong bộ nhớ chỉ đọc (ROM - Read Only Memory) của thiết bị phần cứng. Nó sẽ nhận nhiệm vụ xử lý các tác vụ giống như một hệ điều hành.
(3) Backdoor: cửa sau. Một số quản trị viên sẽ sử dụng Vùng tin cậy (trusted zone) để loại bỏ các kết nối từ các máy tính nằm ngoài vùng IP này. Điều này giúp giảm bớt tải hệ thống, bảo mật hơn nhưng nếu chủ quan sẽ bị đánh lừa. Các hacker cao thủ có thể giả mạo IP để thực hiện các kết nối bất hợp pháp từ IP ko phải nằm trong Trusted Zone.
- Vào đi!
Trưởng phòng Quân đẩy cửa đi vào theo sự cho phép của Giám đốc Trần Công Luận. Nhác thấy sắc mặt của vị giám đốc không được tốt, Quân đã biết đã xảy ra chuyện gì đó không hay rồi.
Cũng không để cho Quân kịp hỏi cái gì, Trần Công Luận đã xoay màn hình máy tính về phía Quân rồi nói:
- Cậu đọc cái này đi!
Quân nghi hoặc nhưng vẫn y theo lời vị Giám đốc ngồi xuống đối diện ông ta chăm chú nhìn vào màn hình.
Ngay khi vừa lướt qua được nội dung những dòng đầu tiên Quân đã trợn mắt ngoác mồm lên rồi vội vã nhìn Trần Công Luận giải thích:
- Thưa sếp, mail này không phải do em gửi!
Trần Công Luận gật đầu:
- Đương nhiên tôi biết không phải do cậu gửi! Cậu cứ đọc hết nội dung mail đi rồi cho tôi biết ý kiến về vấn đề này.
- Dạ…
Quân gật đầu vâng dạ rồi tiếp tục tập trung đọc nốt nội dung còn lại của email đe dọa.
Sau chừng ba mươi giây, Quân ngẩng đầu lên suy tư giây lát rồi trả lời:
- Sếp, theo em chúng ta không cần vội hoảng hốt. Trước mắt em sẽ cho nhân vien kiểm tra lại hệ thống xem những nội dung trong này là thật hay giả, từ đó mới có biện pháp phản ứng thích hợp được.
Trần Công Luận nghe xong gật đầu:
- Vậy cậu cho người làm nhanh đi!
- Vâng! Em đi xử lý ngay!
Nói xong, Quân hấp tấp đứng lên chạy ngược về phòng kỹ thuật.
Đám nhân viên của Quân đang ngồi thảo luận thấy hắn vừa lao đi lại đã lao ngược trở về, vẻ mặt lại còn lo lắng thì nhao nhao đứng lên. Một người trong số này lên tiếng:
- Anh Quân? Sao thế?
Quân vội vàng hạ lệnh:
- Các cậu, Giám đốc vừa nhận được email đe dọa tống tiền. Rất có thể hệ thống dữ liệu của chúng ta đã bị tin tặc tấn công và khống chế. Mau tiến hành kiểm tra lại cho tôi!
Quân nói xong thì đám nhân viên loạn thành một đoàn:
- Cái gì? Sao lại có thể vậy được?
- Trời đất, bọn nào lại to gan thế?
- Thật hay giả thế? Tôi không tin chúng làm được!
- …
Quân đứng một bên sốt ruột gắt lên:
- Được rồi, các cậu không nghe tôi nói cái gì à? Mau hành động đi!
Đám nhân viên thấy Quân nổi giận vội vàng sắp xếp chia nhau thao tác công việc.
Sau chừng mười phút, kết quả sơ bộ đã tới tay Quân. Mặc dù các máy chủ vẫn đang hoạt động để đảm bảo công năng vận hành của hệ thống nhưng toàn bộ đã mất quyền khống chế.
Tin tức này lập tức khiến Quân rơi vào hoang mang. Ngồi thừ người ra giây lát hắn run run bấm điện thoại gọi cho Trần Công Luận, vị giám đốc dường như là đang trực nên lập tức nhận máy:
- Sao rồi cậu Quân?
- Dạ, báo cáo sếp, đúng… đúng là chúng ta bị hack rồi ạ. Toàn bộ máy chủ đã bị khống chế!
Đầu dây bên kia tĩnh lặng mất mấy giây sau đó mới có tiếng phản hồi:
- Vậy hướng xử lý bây giờ ra sao? Chẳng lẽ phải chuyển tiền cho bọn chúng?
Quân cau mày suy nghĩ giây lát sau đó mới lên tiếng:
- Thưa sếp, có lẽ việc này phải nhờ tới đơn vị chống tin tặc chuyên nghiệp tới can thiệp. Xin sếp phê duyệt chủ trương để bọn em mời gấp chuyên gia của BKAV đến xử lý!
Trần Công Luận lập tức gật đầu:
- Được, các cậu hành động gấp đi! Sự việc khẩn cấp, cái gì cần cứ làm trước báo cáo sau, tôi đồng ý hết!
- Dạ, em biết rồi sếp! Chào sếp!
Quân nói xong thì cúp máy rồi lại vội vàng gọi cho người bạn tên Trình đang làm Trưởng bộ phận Chống tin tặc và xử lý khủng hoảng của Công ty BKAV để yêu cầu cử nhân sự tới hỗ trợ
- Alo, Quân à? Sáng sớm gọi mình có việc gì vậy? – Tiếng Trình vang lên.
Quân cũng không dài dòng mà vào thẳng vấn đề:
- Trình hả? Hệ thống máy chủ của bên tôi đang bị tin tặc khống chế, ông có thể lập tức sang bên này xử lý được không?
- Sao? Nghiêm trọng vậy à?
- Uhm, bọn chúng chỉ cho chúng tôi nửa ngày để chuyển khoản vào tài khoản của chúng ở nước ngoài, nếu không bọn chúng sẽ phá hủy hệ thống và công bố thông tin khách hàng ra bên ngoài làm ảnh hưởng tới uy tín của công ty.
Trình cân nhắc một chút rồi gật đầu:
- Sự vụ hơi gấp, tôi sẽ báo cáo lại lãnh đạo rồi cùng sang bên cậu. Giám đốc bên cậu không đi công tác chứ?
Quân hiểu ý Trình, dù sự việc có gấp nhưng đây rõ ràng vẫn là một vụ giao dịch nên cần lãnh đạo hai bên có thỏa thuận và thống nhất về giá cả dịch vụ trước khi thực hiện. Trình không thể tự ý đưa người sang bên này xử lý sau đó mới bàn bạc phí được.
- Cậu yên tâm, sếp tôi đang ở nhà. Mau lên nhé!
- Được rồi! Ba mươi phút nữa chúng tôi có mặt!
**************
Bốn mươi phút sau,
Giá cả và các điều khoản cơ bản rất nhanh được Trần Công Luận và giám đốc kinh doanh của BKAV thông qua. Theo đó đội ngũ nhân sự của BKAV do Trưởng bộ phận Chống tin tặc và xử lý khủng hoảng Lê Công Trình trực tiếp dẫn đầu đang tích cực làm việc với đội ngũ kỹ thuật của FPT Telecom.
Trình khi này là người đang lên tiếng:
- Quân, chính sách sao lưu giữ liệu của công ty như thế nào? Lần gần đây nhất là khi nào?
Quân lập tức trả lời:
- Hai ngày một lần và bắt đầu vào 10h đêm các ngày lẻ trong tháng.
Trình đưa tay lật xem đồng hồ giây lát rồi nói:
- Tối qua là 27, vậy nghĩa là tối qua vừa có một đợt sao lưu đúng không?
Quân gật đầu:
- Đúng thế!
- Quá trình sao lưu có gặp vấn đề gì không?
Quân đưa mắt nhìn về phía một người nhân viên, người này lập tức hiểu ý trả lời:
- Báo cáo các anh, tối qua mọi việc diễn ra bình thường không gặp cản trở gì cả.
Nhận được câu trả lời khẳng định, Trình khẽ thở phào rồi nói:
- Tốt! Vậy là dữ liệu có thể backup được cơ bản. Trường hợp dữ liệu máy chủ có bị xóa thì chúng ta vẫn có thể khôi phục được.
Hơi dừng lại một chút Trình quay sang một người nhân viên trong đội hỏi:
- Cậu Huy, kết quả kiểm tra sơ bộ thế nào?
Huy nghe Trình hỏi thì lập tức lên tiếng:
- Báo cáo sếp, Hệ thống mạng của công ty này sử dụng một Hardware Firewall (HF) của CISCO có chức năng VPN (1), một Proxy Server kiêm luôn chức năng làm Software Firewall (SF) chạy trên nền Linux. Toàn bộ hệ thống được đặt sau Firewall (tường lửa), biệt lập hoàn toàn với Internet và không chấp nhận bất cứ một kết nối nào từ bên ngoài. Như vậy các cuộc tấn công từ ngoài vào sẽ được loại bỏ ngay bởi HF.
Trình nghe xong thì cau mày suy luận, nếu đúng như những gì cậu nhân viên nói thì sẽ chỉ có hai khả năng được đặt ra, một là hệ thống đã bị tấn công từ bên trong bởi nhân viên của công ty, hai là HF có lỗi và bị khai thác lỗi đó.
Nghĩ tới đây, Trình ra lệnh cho nhân viên:
- Các cậu lập tức rút cable của toàn bộ máy chủ ra khỏi hệ thống mạng cho tôi.
- Vâng, sếp!
Nhân viên lập tức răm rắp làm theo lời của Trình theo đó màn hình các máy chủ này lập tức xuất hiện những hình hoạt hình nhảy múa và rồi tất cả chỉ còn một màu đen!
- Cậu Huy, kiểm tra ngay phần HF xem sao.
Huy đứng lên cẩn thận xem xét tới gần ba mươi phút rồi mới quay lại báo cáo:
- Sếp, đây là loại HF hiện đại vào bậc nhất của CISCO vào thời điểm hiện tại. Firmware (2) của HF đã được cập nhật phiên bản mới nhất từ nhà cung cấp CISCO và tính tới thời điểm cuộc tấn công bị phát hiện, vẫn chưa có một lỗi bảo mật có thể khai thác nào về dòng HF này được nhà cung cấp cũng như các website bugtraq thông báo. Đồng thời em kiểm tra máy chủ thì toàn bộ các máy chủ đó đã bị xóa sạch sẽ. Trên ổ cứng của 3 máy chủ chỉ còn lại một tập tin 0wned. Như vậy là bọn chúng đã phi tang sạch sẽ. Mọi cố gắng phục hồi dữ liệu trở nên vô nghĩa khi ổ cứng bị ghi đè lên một bảng FAT mới.
Nghe tới đây thì Trình hiểu điều này cũng đồng nghĩa với việc các đầu mối để điều tra cuộc tấn công đã bị xóa sạch và cuộc điều tra lại cuộc tấn công của hacker được đưa vào một ngõ cụt tối tăm.
Lại trầm ngâm thêm giây lát Trình lại quay sang Huy nói:
- Cho tôi kiểm tra email bọn tin tặc đã gửi tới cho Giám đốc bên FPT Telecom.
Dữ liệu sau đó rất nhanh có trên tay Trình. Phân tích email header và log của mail server, hắn nhận ra rằng email này được gửi từ IP 192.168.4.36. Lần theo địa chỉ IP này Trình biết được email này được gửi từ Bộ phận quản lý khách hàng và chiếc máy sở hữu địa chỉ IP này chính là một máy trạm (workstation) làm việc của nhân viên tên Nguyễn Việt Hoàng - quản lý một trang tin trong công ty. Máy tính này sử dụng hệ điều hình Windows 2000 Professional.
Đã lần ra được manh mối, Trình lập tức yêu cầu Quân cho người đi tháo ổ cứng của máy tính này, gắn nó vào một máy tính độc lập với mạng của FPT Telecom và đăng nhập với mật khẩu của Administrator để bắt đầu quá trình kiểm tra. Hệ thống hoạt động bình thường. Các phần mềm được cài đặt đều là phần mềm nằm trong quy định của công ty.
Mọi thứ không có gì bất thường cả. Tuy nhiên, mọi thứ bắt đầu bất thường khi Trình kiểm tra tới các tài khoản người dùng trên hệ thống. Ngoài các tài khoản Administrator, Guest, Nguyễn Việt Hoàng, Trình và đồng sự đã tìm thấy một tài khoản khác.
Sau khi được Nguyễn Việt Hoàng xác nhận anh ta không hề cài thêm bất cứ một account nào trên hệ thống. Như vậy tài khoản này có thể là một account được tạo ra để lần sau đăng nhập dễ dàng hơn.
Tiếp tục kiểm tra các xử lý (process) đang chạy trên hệ thống, Trình tìm ra một process có cái tên hay tuyệt: system32.exe. Process này nằm ngay cạnh system32.dll (một tập tin thư viện động của hệ thống).
Khi nhìn thấy thứ này, Trình phải công nhận rằng tay hacker này cũng rất thông minh khi đặt tên của backdoor (3) trùng tên với một tập tin hệ thống. Nó dễ dàng đánh lừa những người thiếu kinh nghiệm và cả những người có kinh nghiệm nhưng thiếu cẩn thận. Bằng lệnh dir cùng khóa chuyển /s Trình nhanh chóng xác định được vị trí của tập tin system32.exe. Nó được đặt tại 2 thư mục là WIN2K/SYSTEM32 và WIN2K/SYSTEM32/DLLCACHE.
Sau khi quyết định chạy thử tập tin system32.exe với đủ các khóa chuyển, Trình xác định được nó chính là netcat. Một công cụ quen thuộc của các quản trị viên và cũng là một backdoor lợi hại của những kẻ xâm nhập. Nó như một chiếc đũa thần cho những kẻ xâm nhập với hàng loạt những chức năng như kết nối tới một máy chủ, quét cổng, truyền tải tập tin, và hoạt động như một backdoor.
Kiểm tra thư mục Start Up của hệ thống – hoàn toàn bình thường, không hề có một file nào gọi tới system32.exe. Kiểm tra hệ thống System Registry, Trình chợt mừng húm vì cảm giác mình khám phá ra thêm một manh mối, system32.exe đã được gọi khi máy khởi động với khóa chuyển như sau: system32.exe -p 23985 -d -L -e cmd.exe.
Tiếp đó, Trình sử dụng telnet vào localhost với port 23985 và kết quả nhận được là một shell lệnh của hệ thống Windows với dấu nhắc C:> quen thuộc.
Một bức tranh sơ lược nhanh chóng được phác họa trong đầu Trình: hacker tấn công vào máy trạm của nhân viên Nguyễn Việt Hoàng để chiếm quyền điều khiển. Sau đó dùng máy này tấn công tiếp vào các máy trong trụ sở chính và gửi email để “xin tiền". Có vẻ hợp logic nhưng Trình cảm thấy vẫn có vài điểm chưa thuyết phục, hắn nâng cằm lẩm bẩm:
- Nhưng rốt cục đó là cái gì được chứ?
Ghi chú:
(1) VPN: Virtual Private Network: mạng riêng ảo. Sử dụng công nghệ VPN có thể thiết lập một mạng LAN cho công ty thông qua Internet giúp cho nhân viên của công ty có thể làm việc tại bất cứ đâu.
(2) Firmware: là một chương trình máy tính được tích hợp sẵn trong bộ nhớ chỉ đọc (ROM - Read Only Memory) của thiết bị phần cứng. Nó sẽ nhận nhiệm vụ xử lý các tác vụ giống như một hệ điều hành.
(3) Backdoor: cửa sau. Một số quản trị viên sẽ sử dụng Vùng tin cậy (trusted zone) để loại bỏ các kết nối từ các máy tính nằm ngoài vùng IP này. Điều này giúp giảm bớt tải hệ thống, bảo mật hơn nhưng nếu chủ quan sẽ bị đánh lừa. Các hacker cao thủ có thể giả mạo IP để thực hiện các kết nối bất hợp pháp từ IP ko phải nằm trong Trusted Zone.
Tác giả :
DongHo