VnReview
Hà Nội

Phát hiện dấu vết Anonymous

Các chuyên gia an ninh mạng cho biết chi tiết dấu vết hiếm hoi về chiến lược, công cụ và chiến thuật nhóm tin tặc Anonymous sử dụng để tấn công một website của Vatican.

Anonymous

Các tin tặc Anonymous phát động một cuộc tấn công như thế nào? Một báo cáo mới công bố chi tiết về cuộc tấn công mạng kéo dài 25 ngày của nhóm tin tặc Anonymous phát động tháng Tám năm ngoái. Nó được thiết kế để làm gián đoạn một sự kiện cụ thể.

Nghiên cứu này được hãng bảo mật dữ liệu Imperva công bố hôm Chủ nhật vừa qua tại hội nghị RSA ở San Francisco. Nó đem đến một cái nhìn hiếm hoi về chiến lược, công cụ và thủ thuật cụ thể do Anonymous sử dụng trong nỗ lực thâm nhập hoặc hạ gục các website.

Trong khi các quan chức Imperva từ chối nêu danh tính của tổ chức bị tấn công thì theo nhiều tờ báo, vụ tấn công này nhắm vào một website của Vatican. Tương tự, Vatican cũng từ chối xác nhận vụ tấn công nhưng theo báo chí, một quan chức của Tòa thánh đã gửi email cho đồng nghiệp nhưng bất cẩn gửi nhầm đến địa chỉ của một phóng viên trong đó nói việc đáp lại câu hỏi của phóng viên về các vụ tấn công thực sự hay tiềm năng chẳng có gì là thoải mái và "chúng ta càng im lặng trong lĩnh vực này càng tốt".

Vụ tấn công của Anonymous được phát động theo banner Operation Pharisee, chiến dịch bắt đầu bằng các cuộc tấn công website ở Nam Mỹ và Mexico. Còn vụ tấn công cụ thể này được thiết kế để làm hỏng chuyến thăm của Đức Giáo hoàng Benedict XVI tới Madrid nhân ngày Thanh niên thế giới World Youth Day 2011. Song nỗ lực đánh sập một website của Vatican bị thất bại mặc dù vụ tấn công từ chối dịch vụ phân tán (DDoS) đã làm tăng lưu lượng truy cập đến mức kỷ lục, tăng gấp 34 lần so với bình thường.

Các nhà nghiên cứu ở Imperva đã cảnh báo trước về vụ tấn công này, có nghĩa họ đã có thể theo dõi nó rất sát khi nó xảy ra. Dưới đây là mô tả vụ tấn công được triển khai như thế nào:

Trong suốt giai đoạn đầu, Anonymous tiến hành thăm dò website của Vatican, tìm kiếm bất kỳ lỗ hổng ứng dụng Web nào họ có thể khai thác để truy cập vào máy chủ và đánh cắp dữ liệu. Những kẻ tấn công đã sử dụng một số công cụ sẵn có miễn phí, gồm một máy quét SQL injection tự động do người Iran phát triển có tên là Hajiv và các máy quét Acunetix Scanner, Nikto Scanner. Chúng tìm kiếm dấu hiệu những lỗ hổng đã được biết đến của máy chủ, gồm SQL injection và lỗi cross-site scripting cũng như phần mềm máy chủ lạc hậu.

Sử dụng những công cụ này, những người điều hành phải hiểu sự phức tạp của các ứng dụng Web và những lỗ hổng có liên quan. Giai đoạn này do một nhóm nhỏ chuyên nghiệp thực thi.

Song các công cụ nói trên đã không dò ra được bất kỳ điểm yếu nào của website có thể khai thác. Do đó, những kẻ tổ chức tấn công bắt đầu chiến dịch tuyển mộ qua Facebook, Twitter và YouTube, kêu gọi mọi người tham gia Anonymous để hạ gục website World Youth Day bằng cách sử dụng công cụ DDoS Low Orbit Ion Cannon (LOIC). Anonymous cũng sử dụng phiên bản LOIC dành cho di động mới, là một trang web có JavaScript có thể thực hiện một cuộc tấn công DDoS sau khi trang được truy cập từ một trình duyệt trên di động.

Như đã nói ở trên, vụ tấn công kéo dài đến 25 ngày nhưng điều thú vị là hầu hết thời gian dùng cho việc thăm dò hoặc tuyển mộ người tham gia DDoS. "Ngày 19-25 là giai đoạn tấn công thực sự, phân chia giữa tấn công ứng dụng và sau đó tấn công DDoS", ông Rob Rachwald, giám đốc chiến lược an ninh mạng của Imperva nói tại hội nghị RSA.

Một trong những phát hiện thú vị từ phân tích của Imperva về cuộc tấn công là biết được hậu trường Anonymous tiến hành do thám, đặc biệt khi chủ đề này "thường không được các thành viên Anonymous bàn thảo công khai", ít nhất là ở các diễn đàn mạng.

Điều cũng đáng nói nữa là nhóm tin tặc này chỉ phát động tấn công DDoS sau khi thất bại trong việc tìm kiếm các lỗ hổng để khai thác. Điều đó có thể dẫn đến phán đoán là nhiều cuộc tấn công DDoS của Anonymous chỉ được phát động sau khi – và trong nhiều trường hợp là khi – nhóm tin tặc này không tìm thấy các điểm yếu của website để khai thác. Imperva cho rằng Anonymous sẽ cố đánh cắp dữ liệu trước hết và nếu thất bại, họ sẽ cố tấn công DDoS.

Một phát hiện khác là trong khi việc kêu gọi tham gia tấn công DDoS của Anonymous là công khai thì giai đoạn do thám ban đầu được tiến hành bởi một nhóm hacker tinh vi khá hẹp. Điều này có thể được diễn giải là nhóm nòng cốt của Anonymous gồm một số lượng người tương đối nhỏ.

"Anonymous là một số ít người tài được bao quanh bởi một đoàn quân ngu ngốc", Cole Stryker, một chuyên gia nghiên cứu về Anonymous phát biểu với phóng viên New York Times. "Có bốn hoặc năm tay thực sự biết họ đang làm gì và có thể thành công một số vụ hack nghiêm trọng và sau đó, hàng ngàn người phát tán thông tin về vụ việc hoặc biến máy tính của họ thành công cụ tham gia vào một cuộc tấn công DDoS".

Trí Minh

Chủ đề khác