Đây là vụ tấn công trên mạng rùm beng nhất từ trước tới nay tại Việt Nam và để tìm ra thủ phạm, các trinh sát của Cục C15 và Trung tâm An ninh mạng Đại học Bách khoa (BKIS) đã mất khá nhiều thời gian công sức trong suốt gần hai tháng qua.
Cướp tên miền, một dạng tội phạm trong thế giới ảo
Chodientu.com là trang thương mại điện tử của Công ty phần mềm Hòa Bình (PeaceSoft) do ông Nguyễn Hòa Bình làm Tổng giám đốc. Đây là một trang thông tin mua bán trên mạng có khá đông khách hàng sử dụng. Rạng sáng 23-9-2006, toàn bộ giao diện website chodientu.com đã bị xóa. Thay vào đó là một bức hình chụp ông Nguyễn Hòa Bình và những thông tin bôi nhọ danh dự cá nhân ông.
Như vậy, chodientu.com đã bị hack và bị cướp tên miền và hacker đã giành toàn bộ quyền kiểm soát website này. Hàng loạt tên miền của Công ty phần mềm Hòa Bình như: chodientu.com, chodientu.net, chodientu.com.vn... đều bị hacker kiểm soát. Khi khách hàng truy cập vào các website này thì đều bị chuyển vào một địa chỉ khác và đều bắt gặp nội dung bôi nhọ cá nhân ông Nguyễn Hòa Bình.
Ngay sau khi bị cướp tên miền website chodientu.com, trả lời phỏng vấn báo chí, ông Nguyễn Hòa Bình cho rằng, rất có thể nguyên nhân của vụ việc này xuất phát từ những mâu thuẫn cá nhân và những hành vi cạnh tranh không lành mạnh trong giao dịch thương mại điện tử. Ông Bình khẳng định, vụ việc này đã làm ảnh hưởng đến một khối lượng không nhỏ các khách hàng sử dụng dịch vụ tại chodientu.com.
Thượng tá Trần Văn Hòa, cho biết, đây không phải là vụ tấn công trang thương mại điện tử đầu tiên xảy ra ở Việt Nam. Trước đó ít lâu, rạng sáng ngày 12-3-2006, website thương mại điện tử VietCo.com của Công ty Việt Cơ cũng đã bị tấn công. Hacker đã làm cho website này bị tê liệt hoàn toàn. Doanh nghiệp Việt Cơ, một doanh nghiệp vừa mới bước vào làm thương mại điện tử có nguy cơ phải phá sản.
Trước tình thế nguy cấp đó, ông Phùng Minh Bảo - Giám đốc Công ty Việt Cơ - phải trình báo tới Trung tâm An ninh mạng (BKIS) và Phòng 9, C15. Cuộc điều tra trên mạng được tiến hành ngay và chỉ một ngày sau, các nhân viên của BKIS và các sĩ quan cảnh sát của Phòng 9 đã tìm ra cơ chế của cuộc tấn công này thông qua nhật ký trên máy chủ của Việt Cơ.
Cách thức tấn công này có thể tóm tắt một cách dễ hiểu như sau: đầu tiên chúng dụ người sử dụng vào một trang web sex và khi truy cập vào trang sex này thì máy tính đó sẽ bị cài đặt một trojan (một dạng chương trình máy tính nằm vùng có tên gọi dựa theo điển tích "con ngựa gỗ thành Tơ Roa" trong thần thoại Hy Lạp). Từ thời điểm này, máy tính đó đã bị hacker kiểm soát mà chủ nhân của nó không hề hay biết và có bao nhiêu máy tính truy cập web sex nói trên, bị cài đặt trojan là có bấy nhiêu máy tính bị chiếm quyền điều khiển tạo thành một mạng BOTNET.
Mạng BOTNET này, qua điều tra của BKIS và Phòng 9 đã lên tới vài nghìn máy và vì đã bị chiếm quyền điều khiển nên chúng đã trở thành công cụ để tấn công ồ ạt vào website VietCo.com. Mỗi máy trong mạng BOTNET đã được hacker chỉ đạo khoảng 10 nghìn lần truy cập vào trang chủ VietCo.com gây quá tải toàn bộ hệ thống khiến website này bị đánh sập chỉ trong vòng chưa đầy hai giờ đồng hồ.
Tuy nhiên, chodientu.com lại bị tấn công theo cơ chế hoàn toàn khác. Cơ chế này, theo đánh giá của các chuyên gia mạng là tinh vi hơn. Đó là hacker đã dùng chính máy tính của Công ty phần mềm Hòa Bình để làm bàn đạp tấn công phá hoại chodientu.com nhằm đánh lạc hướng điều tra, tạo ra một nghi ngờ rằng, có thể chính Công ty phần mềm Hòa Bình đã tự tạo dựng nên vụ việc.
Mặt khác, trong quá trình tấn công, thủ phạm đã cố gắng xóa đi mọi dấu vết quan trọng. Vì thế, quá trình điều tra vụ việc này khó khăn hơn, mất nhiều thời gian hơn. Hơn thế, không chỉ tấn công chodientu.com, trong vụ này, hacker còn chỉ dẫn khách hàng sang một trang khác có nội dung bôi nhọ danh dự của người đứng đầu Công ty chủ quản của website này. Cộng đồng IT (công nghệ thông tin) cho rằng, đây là vụ tấn công mạng rùm beng nhất từ trước tới nay ở Việt Nam.
Thượng tá Trần Văn Hòa cho biết, ngay sau khi nhận được trình báo của Công ty phần mềm Hòa Bình, các sĩ quan của Phòng 9 đã phối hợp với Trung tâm BKIS tiến hành điều tra. "Dù thủ phạm của vụ tấn công có khéo che giấu đến mấy thì với trình độ và công nghệ hiện có, chúng tôi cũng sẽ tìm ra thủ phạm" - Thượng tá Trần Văn Hòa nói, và đây cũng chính là cảnh báo của Lực lượng Cảnh sát phòng chống tội phạm công nghệ cao đối với các hacker.
Huy "Remy" là ai?
Huy "Remy" là biệt danh của Nguyễn Quang Huy, sinh năm 1984, học viên năm thứ hai Trường Genetic Đại học Bách khoa Hà Nội. Huy sinh ra trong một gia đình trí thức ở Hà Nội, cha là giảng viên đại học, mẹ làm ở một cơ quan báo chí. Huy say mê công nghệ thông tin và là người có khả năng trong lĩnh vực này.
Đối với các cư dân mạng, cái tên Huy "Remy" không phải là xa lạ vì Huy "Remy" đã nổi đình nổi đám từ nhiều năm trước. Năm 2003, khi Báo Tiền phong phối hợp với VietnamNet tổ chức một cuộc hội thảo về an ninh mạng mà dân IT hồi ấy gọi dân dã là cuộc gặp mặt của các hacker thì Huy "Remy", lúc đó là thành viên của nhóm VHA, cũng được mời tham gia. Sau đó, tại một cuộc thi hack công khai do một trường đại học ở TP Hồ Chí Minh tổ chức, Huy "Remy" đã hack thành công vào... chính trang web của cuộc thi này.
Chỉ mất vẻn vẹn có ba phút, Huy "Remy" đã phát hiện ra một lỗi lập trình trong hệ thống quản lý user của website này để từ đó thâm nhập cơ sở dữ liệu đặt trên máy chủ. Thời ấy, các cư dân mạng đã xôn xao về sự kiện này. Huy "Remy" được xếp vào hàng các hacker có máu mặt. Bản thân Huy cũng luôn luôn tự hào về điều ấy và đây thực sự là một điều nguy hiểm vì con đường từ hack đến tội phạm rất gần. Trường hợp của Nguyễn Thành Công ở Đác Lắc, thành viên của nhóm hacker Bé yêu, một hacker có hạng, vừa bị xử lý về hành vi tấn công trang thương mại điện tử VietCo và có liên quan đến vụ làm giả thẻ ATM, là một thí dụ đáng tiếc.
Trở lại câu chuyện của Huy "Remy", vừa học tại Trường Genetic, Huy vừa quản lý một công ty có tên gọi là TEEN CORP có trụ sở đặt tại Khâm Thiên, Hà Nội. "Gọi là công ty nhưng đó chỉ là một căn phòng chừng 10m2 với mấy chiếc máy tính cũ. Huy không mở công ty này mà có một người khác đứng tên mở sau đó giao quyền quản lý cho Huy", Thượng tá Trần Văn Hòa cho biết như vậy.
Sau một thời gian tiến hành điều tra, Cơ quan điều tra đã thu được nhiều dấu vết quan trọng tại máy chủ của Công ty phần mềm Hòa Bình và tại các ổ cứng máy tính của Huy "Remy"... Tại máy chủ của Công ty phần mềm Hòa Bình, địa chỉ IP mà Cơ quan điều tra tìm thấy đã được Công ty FPT xác nhận trùng với địa chỉ IP mà FPT đã cấp cho thuê bao ADSL của Nguyễn Quang Huy tại thời điểm xảy ra vụ tấn công chodientu.com.
Trên ba máy tính mà Nguyễn Quang Huy sử dụng gồm: TEEN_CORP1, TEEN_CORP2, TEEN_CORP3 thì máy TEEN_CORP2 trùng với tên máy tính mà đối tượng sử dụng để xâm nhập máy chủ của Công ty phần mềm Hòa Bình. Cùng với đó còn nhiều căn cứ khác cho thấy chính Huy "Remy" là thủ phạm gây ra vụ tấn công vào website chodientu.com.
Ngoài ra, Cơ quan điều tra còn có đủ căn cứ để chứng minh Huy "Remy" còn là chủ một trang web có nội dung không lành mạnh. Tuy nhiên, khi bị triệu tập tới Cơ quan điều tra, Huy "Remy" đã phủ nhận các chứng cứ mà Cơ quan điều tra đưa ra. Huy nói rằng có thể máy tính của Huy đã bị hack và hacker đã điều khiển máy tính của Huy làm phương tiện tấn công chodientu.com. Tuy nhiên, Thượng tá Trần Văn Hòa khẳng định: "Việc Huy thừa nhận hay không không quan trọng. Chúng tôi đã có đầy đủ chứng cứ chứng minh Huy chính là thủ phạm của vụ tấn công website chodientu.com".
Thượng tá Hòa cũng cho biết thêm, hiện Cơ quan điều tra đang hoàn tất hồ sơ để xử lý đối với Nguyễn Quang Huy. Theo đó, hành vi nào vi phạm hành chính thì sẽ chuyển để Thanh tra Bộ Bưu chính - Viễn thông và Thanh tra Bộ Văn hóa - Thông tin xử lý, còn hành vi nào vi phạm hình sự thì sẽ phải xử lý bằng hình sự.
Như vậy, vụ tấn công trên mạng rùm beng nhất từ trước tới nay đã khép lại. Lại thêm một hacker nữa vi phạm pháp luật và bị phát hiện xử lý. Việc nhanh chóng tìm ra thủ phạm của vụ việc này đã đem lại niềm tin cho các doanh nghiệp làm thương mại điện tử và góp phần giữ gìn trật tự trong thế giới ảo. Đồng thời, đây cũng là một bài học cho các bạn trẻ trọng cộng đồng IT rằng, hãy đem tài năng phục vụ cho những việc có ích chứ đừng cho những mục đích xấu.
