Phân tích vụ việc 1000 website của Việt Nam bị Trung Quốc tấn công

Như nhiều báo chí đã đưa tin, nhằm phản hồi lại chiến dịch tấn công các website của Trung Quốc có tên “OpChina” của một số  hacker đến từ Việt Nam và Philipines. Các nhóm hacker Việt nam và Philipines đã tấn công defacement, chiếm quyền điều khiển, DDOS và đe dọa nhiều website của Trung Quốc, chính phủ Trung Quốc. Nhóm hacker 1937cn đã trả đũa bằng cách tấn công chiếm quyền điều khiển, thay đổi giao diện của gần 1000 website Việt Nam. Trong số đó có nhiều website .gov.vn (các website của cơ chính phủ Việt Nam) và các website .edu.vn (Các website của các đơn vị giáo dục của Việt Nam) là những website quan trọng và chứa nhiều các thông tin có sức ảnh hưởng trực tiếp đến đông đảo người dùng.

Tin tặc đã khai thác nhiều lỗ hổng nguy hiểm trên các website này, có những lỗ hổng rất cơ bản như SQL Injection, lỗ hổng do việc sử dụng không đúng cách, sử dụng bản đã cũ của plugin FCKEditor. Đây là những lỗ hổng mà chính nhóm hacker đã từng sử dụng để tấn công nhiều website của Việt Nam trong năm 2014.

Với các lỗ hổng này có thể tin tặc đã sử dụng các công cụ tấn công tự động, nhằm tấn công được số lượng website rất lớn trong khoảng thời gian ngắn.

Lỗ hổng trong FCKEditor

FCKeditor (còn gọi là CKEditor) là một trình soạn thảo HTML mã nguồn mở theo kiểu WYSIWYG của CKSource. Chương trình này có thể tích hợp vào các web site mà không cần cài đặt. CKEditor tương thích với hầu hết các trình duyệt Internet và được sử dụng rất rộng rãi.

Lỗi chủ yếu do các website đang dùng bản cũ và không xóa các form upload test mặc định có trong FCKEditor. Khi triển khai FCKeditor chưa cấu hình phân quyền thưc mục, phân quyền thực thi trong các thưc mục upload của Web Server. Kẻ tấn công có thể lợi dụng để upload các file với nội dung xấu lên website hoặc upload các webshell lên Website nhằm chiếm quyền điều khiển website.

Để khắc phụ lỗi này, quản trị website nên thực hiện các công việc sau

1. Xóa các thưc mục upload test trên website.
2. Cấu hình phân quyền thư mục, phân quyền thực thi theo kiểu file trong thư mục upload.
3. Hoặc có thể cập nhật phiên bản mới của FCKEditor tại đây: http://ckeditor.com/
4. Bạn cũng có thể khắc phục thủ công bằng cách thay đổi trực tiếp mã nguồn trong tệp tin upload.php. Thay đổi ‘sCurrentFolder = GetCurrentFolder()’ thành ‘sCurrentFolder = “/”’.

Mã nguồn có lỗ hổng

Mã nguồn An toàn

Nhóm hacker chủ mưu tấn công?

1937cn.net – trang web chính thức của nhóm 1937cN, một trang mạng Hacker của Trung Quốc được lập ra với mục đích kích động các Hacker Trung Quốc tấn công các website của Việt Nam và khu vực biển đông. 1937cN là nhóm hacker nổi tiếng và mạnh nhất Trung Quốc.

1937cN đã từng tấn công rất nhiều website của Việt Nam

1937cN là nhóm đã từng tấn công nhiều hệ thống, website quan trọng của Việt Nam, website chính phủ, các tổ chức lớn của Việt Nam. Nhóm này cũng thường tổ chức các đợt tấn công qui mô lớn vào Việt Nam khi có các sự kiện lớn liên quan tới chính trị giữa Việt Nam và Trung Quốc.

1. Tấn công vào máy chủ DNS của Facebook.com.vn và thegioididong.com trong tháng 8/2013, khi thực chuyển 2 tên miền thegioididong.com và facebook.com.vn tới trang website của hacker.
2. Tấn công hàng trăm website của Việt Nam trong dịp hồi đầu tháng 5/2014 trong việc Trung Quốc đặt dàn khoan HD981 vào vùng lãnh hải của Việt nam.
3. Nhóm này cũng tham gia vào vụ tấn công hơn 700 website của Việt Nam trong đợt nghỉ lễ 02/09 năm 2014.
4. Ngoài ra, trong quá trình đánh giá, làm việc chúng tôi cũng phát hiện rất nhiều website của chính phủ, cơ quan nhà nước Việt nam cũng từng là nạn nhân của 1937CN.

Trên website chính thức của nhóm hacker này (website: 1937cn.net ) cũng đưa nhiều thông tin liên quan đến các vấn đề chính trị, nhạy cảm giữa Việt Nam và Trung Quốc, vấn đề Biển Đông, các chiến tích đạt được trong việc tấn công các website của các nước khác trong đó có Việt Nam.