Đến 17h30 cùng ngày, website của Việt Nam Airlines đã trở về giao diện bình thƣờng, nhƣng tên miền phụ http://glp.vietnamairlines.com/ cho thấy trang web vẫn bị hack.
Vietnam Airlines website đã bị tấn công deface, xâm nhập, thay đổi giao diện trang web, chiếm quyền domain và trỏ sang trang web xấu ở nƣớc ngồi và 17h45 đã đƣợc khơi phục. Tin tặc đã không xâm nhập đƣợc hệ thống tra cứu, đặt vé. Trên thông điệp để lại, thủ phạm tấn công vào hệ thống mạng của Vietnam Airlines đƣợc cho là nhóm hacker nổi tiếng 1937cn, đã từng thực hiện nhiều đợt tấn cơng vào các website của Việt Nam trƣớc đó.
Phân tích phương thức tấn công và nguyên nhân:
- Qua điều tra, phân tích virus và dấu vết để lại cho thấy, đây là phƣơng thức tấn công bằng phần mềm gián điệp công nghiệp. Các phần mềm gián điệp này không phải là những virus lây nhiễm một cách ngẫu nhiên vào hệ thống, mà đƣợc phát tán một cách có chủ đích.
- Mã độc này đã đƣợc tìm thấy trong nhiều cuộc tấn công khác, xâm nhập và nằm vùng trên nhiều hệ thống máy tính của Việt Nam. Backdoor và các module phần mềm gián điệp đƣợc tìm thấy, đã kết nối lên một số C&C server và hosting, cũng đã đƣợc tìm thấy trong các vụ tấn cơng khác. Hiện nay vẫn cịn nhiều máy tính ở Việt Nam bị nhiễm mã độc kết nối lên các IP này. Đây là cách tấn công sử dụng phần mềm gián điệp Trojan, lợi dụng lỗ hổng bảo mật của các hệ điều hành hoặc ứng dụng nhƣ Windows, Word, Excel, Power Point, Adobe Flash Player… chƣa bị phát hiện (lỗ hổng Zero day), hoặc đã đƣợc các hãng phát hành bản vá, song ngƣời dùng không cập nhật bản vá, dẫn đến mã độc có thể cài vào và chạy trên hệ thống.
Vụ tấn công vào hệ thống mạng của hai sân bay:
- Hạ tầng mạng của Tổng công ty cảng hàng không đã quá cũ, không đƣợc nâng cấp thƣờng xun, thiếu hệ thống tƣờng lửa, khơng có qui trình quản trị an tồn, dẫn đến các máy chủ của Hệ thống hiển thị thông tin chuyến bay (FIDS – Flight Information Display System) và Hệ thống Phát thanh công cộng (PAS – Public Audio System) đã bị xâm nhập, kiểm sốt từ lâu mà khơng phát hiện đƣợc. Kết quả điều tra đã tìm đƣợc một số dấu vết mã độc trên các server FIDS và PAS liên quan trực tiếp tới việc phát hình ảnh và âm thanh sai lệch và đã phát hiện có các đoạn mã xóa dấu vết, log truy cập. Hacker có đủ thời gian tấn cơng, lấy cắp dữ liệu, phá hoại, thay đổi thông tin hiển thị màn hình và xóa dấu vết.
- Kết quả phân tích mã độc nhiễm trong các server ở cảng hàng không Nội Bài nhƣ sau: