-Việc mở một cổng hậu nhận lệnh điều khiển từ xa, cho phép hacker kiểm soát, chiếm quyền điều khiển máy tính của nạn nhân. Nhƣ vậy, tin tặc có thể thu thập dữ liệu, ghi các thao tác bàn phím (keylogger), chụp màn hình, liệt kê các kết nối hiện tại… của máy tính nạn nhân.
- Qua phân tích cho thấy, mã nguồn của virus này tƣơng tự với virus “Biển đông” tháng 7/2014: Tên miền của máy chủ điều khiển mà mã độc sử dụng trong vụ tấn công 7/2014 là moit.dubkill.com và địa chỉ tên miền này đƣợc đăng ký bởi một công ty của Trung Quốc. Mã độc này cũng là một backdoor kết nối lên C&C server, để nhận lệnh điều khiển từ xa, cho phép hacker kiểm soát, chiếm quyền điều khiển máy tính của nạn nhân, thể thu thập dữ liệu, ghi các thao tác bàn phím (keylogger), chụp màn hình, liệt kê các kết nối hiện tại…
Hình 2.14: Thơng tin tên miền của máy chủ điều khiển vụ virus “Biển đông”81
2.2.3. Khủng hoảng tấn công mạng bằng mã độc vào 2 sân bay và lấy cắp dữ liệu ViệtNam Airlines năm 201682 Nam Airlines năm 201682
Diễn biến vụ việc:
Ngày 29/7, hệ thống máy tính làm thủ tục check-in của VietJet và Vietnam Airlines tại ga quốc nội các sân bay Tân Sơn Nhất và Nội Bài bị tấn công xâm nhập mạng phải dừng hoạt động.
Hacker xâm nhập vào giao diện màn hình, cấu hình thay đổi thơng tin hiển thị về chuyến bay của Tổng công ty cảng hàng không vietnamairport.vn/ tại sân bay Nội Bài và Tân Sơn Nhất. Hệ thống thơng tin hàng khơng (màn hình thơng tin chuyến bay, màn hình máy tính phục vụ check-in của Vietnam Airlines, hệ thống phát thanh) phải dừng hoạt động, hiển thị thơng tin kích động, xúc phạm Việt Nam và Philippines, xuyên tạc các nội dung về Biển Đông. Hệ thống phát thanh của sân bay cũng phát đi những thông điệp tƣơng
81 Trung tâm phân tích kỹ thuật tập đồn BKAV
tự, dẫn đến phải tắt tồn bộ hệ thống âm thanh, màn hình. Hệ thống điều hành bay và an ninh của các sân bay này vẫn hoạt động bình thƣờng.
Cùng thời điểm, website của Việt Nam Airlines www.vietnamairlines.com cũng bị tấn công deface, thay đổi nội dung, hiển thị thơng tin kích động và vụ tấn cơng này do nhóm hacker 1937cn thực hiện. Ngƣời dùng khi truy cập vào địa chỉ, nhận đƣợc thông báo website đã bị hack, nội dung trang chủ đƣợc thay đổi hồn tồn. Phía cuối website có dẫn đƣờng link đến Pastebin.com, chia sẻ ba liên kết cho phép tải về tập tin excel dung lƣợng
100 MB, tập hợp danh sách trên 400 nghìn tài khoản khách hàng thành viên Golden Lotus của Việt Nam Airlines, gồm họ tên, ngày sinh, địa chỉ, chức vụ, cơ quan công tác, số điện thoại...