I. Tổng kết tình hình virus và an ninh mạng năm 2011
1. Số liệu chung về tình hình virus và an ninh mạng năm 2011:
64,2 triệu lượt máy tính tại Việt Nam bị nhiễm virus là tổng kết năm 2011 từ
Hệ thống giám sát virus của Bkav. Trung bình một ngày đã có hơn 175 nghìn máy
tính bị nhiễm virus.
Năm 2011, đã có 38.961 dòng virus xuất hiện mới, lây lan nhiều nhất là
virus W32.Sality.PE. Virus này đã lây nhiễm trên 4,2 triệu lượt máy tính.
2. Danh sách 15 virus lây lan nhiều nhất trong năm 2011:


Số lượng các website bị tấn công trong năm 2011
Cũng trong năm 2011, đã có 2.245 website của các cơ quan, doanh nghiệp
tại Việt Nam bị tấn công. Trung bình mỗi tháng có 187 website bị tấn công.
3. Mạng lưới “nằm vùng” nguy hiểm W32.Sality.PE
Hơn 4,2 triệu lượt máy tính tại Việt Nam đã bị nhiễm virus siêu đa hình
W32.Sality.PE trong năm 2011, như vậy trung bình mỗi ngày có thêm 11.000
máy tính bị nhiễm loại virus này. Virus Sality đã len lỏi vào mọi ngóc ngách
trong các hệ thống mạng máy tính tại Việt Nam. Trong thực tế, khi kiểm tra bất
kỳ hệ thống nào, các chuyên gia của Bkav hầu như đều phát hiện sự tồn tại của
Sality. Không chỉ là virus lây lan nhiều nhất năm 2011, đây thực sự là quả “bom
nổ chậm”, sẵn sàng phát nổ gây ảnh hưởng đến hàng triệu máy tính trong thời
gian tới.

Mặc dù lây nhiễm hàng triệu máy tính, tuy nhiên trong suốt một thời gian
dài theo dõi dòng virus này từ năm 2009 đến nay, virus Sality vẫn đang chỉ “nằm
vùng” mà chưa kích hoạt các tính năng phá hoại như ăn cắp thông tin hay phá hủy
dữ liệu. Đây thực sự là một điều khó lý giải. Rất có thể có một tổ chức, thậm chí là
một quốc gia đứng đằng sau mạng lưới virus này và chưa rõ ý đồ thực sự của họ là
gì.
Lý do khiến W32.Sality.PE có thể lây lan tới hàng triệu máy tính là vì virus
này có khả năng sử dụng các giải thuật di truyền để tự động lai tạo, sinh ra các thế

hệ virus “con cháu” F1, F2… Càng lây nhiễm lâu trên máy tính, virus càng sinh ra
nhiều biến thể với độ phức tạp càng cao, khiến cho khả năng nhận dạng và bóc lớp
của các phần mềm diệt virus càng khó khăn. Chính vì thế W32.Sality.PE có thể qua
mặt được hầu như tất cả các phần mềm diệt virus trên thế giới.
Vì tính chất nghiêm trọng của sự việc, Bkav khuyến cáo người sử dụng máy
tính trên toàn quốc cần kiểm tra máy tính bằng phần mềm diệt virus có trang bị
công nghệ diệt virus siêu đa hình. Đối với người sử dụng phần mềm diệt virus
Bkav, có thể dùng Bkav Pro để loại bỏ virus này.


4. Lừa đảo trực tuyến gia tăng trên mạng xã hội
Trong báo cáo an ninh mạng cuối năm 2010 của Bkav, các chuyên gia đã
nhận định 2011 sẽ là năm xuất hiện nhiều cuộc tấn công lừa đảo trên mạng. Điều
này thực tế đã xảy ra, trung bình mỗi tháng Bkav nhận được hơn 30 báo cáo về lừa
đảo qua Yahoo Messenger. Trong mỗi vụ, số nạn nhân có thể lên tới hàng chục
người. Mặc dù đã được cảnh báo nhiều lần nhưng do sự nhẹ dạ của người sử dụng
mà các vụ cướp nick hoặc lừa tiền vẫn diễn ra liên tiếp.
Không chỉ Yahoo mà giờ đây Facebook, mạng xã hội lớn nhất thế giới đã trở
thành phương tiện để tin tặc lợi dụng. Trong những ngày cuối năm 2011,Bkav đã
ghi nhận sự xuất hiện của các dòng virus lần đầu tiên phát tán qua Facebook chat.
Mặc dù về bản chất, thủ đoạn của những virus này không mới so với virus phát tán
qua Yahoo Messenger, nhưng với lượng người sử dụng đông đảo của Facebook,
virus có tốc độ lây lan chóng mặt. Không những thế, trên môi trường mạng xã hội
như Facebook hay Twitter, năm 2011 còn xuất hiện hàng loạt vụ giả mạo người nổi
tiếng để lừa đảo.
Mạng xã hội và chat trực tuyến đang trở thành công cụ đắc lực của tin tặc.
Bkav một lần nữa khuyến cáo tới người sử dụng, cần cẩn trọng khi tiếp nhận các
thông tin qua các kênh giao tiếp trên mạng. Đặc biệt, cần cảnh giác trước các
đường link hoặc các file nhận được. Bạn thậm chí nên gọi điện hỏi lại người thân
nếu thấy tài khoản chat của họ đang yêu cầu mình cung cấp tiền hoặc các thông tin

nhạy cảm khác.
5. Botnet và những cuộc tấn công mạng liên tiếp
Năm 2011 là năm của các cuộc tấn công mạng. Liên tiếp xảy ra các cuộc tấn
công với các hình thức khác nhau vào hệ thống của các tổ chức, doanh nghiệp tại
Việt Nam. Có những cuộc tấn công xâm nhập trái phép phá hoại cơ sở dữ liệu hoặc
deface các website. Cũng có những cuộc tấn công DDoS làm tê liệt hệ thống trong
thời gian dài. Tấn công cướp tên miền của các doanh nghiệp cũng đã diễn ra liên
tiếp. Nguy hiểm hơn, đã xuất hiện nhiều cuộc tấn công âm thầm, cài đặt các virus
gián điệp đánh cắp tài liệu của các cơ quan quan trọng.


Các vụ tấn công xảy ra phần lớn có nguyên nhân từ nhận thức của lãnh đạo
các cơ quan, doanh nghiệp về tầm quan trọng của an ninh mạng, dẫn đến sự đầu tư
dàn trải, thiếu một giải pháp tổng thể cho an toàn an ninh hệ thống.
Đáng chú ý trong năm 2011 là sự việc hơn 85.000 máy tính tại Việt Nam bị
cài virus Ramnit để lấy cắp dữ liệu quan trọng. Điều này cho thấy các cuộc tấn
công còn có thể gây ảnh hưởng đến an ninh quốc gia. Không chỉ tại Việt Nam, hệ
thống botnet này còn được hacker điều khiển thông qua nhiều máy chủ đặt ở Mỹ,
Nga, Đức và Trung Quốc để lấy cắp thông tin trên toàn cầu. Đây là tình trạng phổ
biến trên thế giới trong năm 2011.
6. Xu hướng năm 2012
Trong bản tin cuối năm 2010, Bkav đã dự đoán sự gia tăng đột biến về số
lượng mã độc cho điện thoại vào năm 2011. Thực tế, lượng mã độc trên
Smartphone đã tăng gấp 4 lần so với năm 2010. Thậm chí, mã độc còn xuất hiện
ngay trên Google Android Market cho dù hệ thống này được kiểm duyệt trực tiếp
bởi con người. Với lượng tăng trưởng người sử dụng Smartphone tại Việt Nam lên
gấp đôi trong năm tới theo dự báo của Nielsen (Hãng nghiên cứu thị trường), năm
2012 sẽ tiếp tục chứng kiến sự bùng nổ của virus trên diện thoại di động.
Virus siêu đa hình sẽ tiếp tục lây lan rộng. Chưa có căn cứ để xác định thời
điểm mạng lưới “nằm vùng” này sẽ kích hoạt module phá hoại, tuy nhiên cũng

không thể khẳng định điều đó không thể xảy ra trong năm 2012.
Nhiều cư dân mạng sẽ tiếp tục bị lừa đảo trực tuyến trong năm 2012. Đây
cũng là một quy luật tất yếu, bởi có thể ví như một khu phố càng sầm uất, càng
đông đúc thì cơ hội cho những kẻ xấu lợi dụng càng có nguy cơ tăng lên, hơn nữa
tốc độ tăng trưởng của các mạng xã hội thì không có khu phố nào có thể sánh nổi.
Tấn công mạng không chỉ là vấn đề của Việt Nam, mà là vấn đề của cả thế
giới. Trong năm 2012, nếu các bộ máy quản lý nhà nước về an ninh mạng của Việt
Nam vẫn chưa hoàn thiện như hiện nay, những cuộc tấn công này không những còn
tiếp diễn mà có nguy cơ không kiểm soát được.


II. Vietnamnet liên tục bị tấn công quy mô lớn
Theo thông báo trên trang chủ của mình ngày 23/9, từ ngày 15/8/2011, Báo
Vietnamnet và các chuyên trang: Tuần Việt Nam, Diễn đàn Kinh tế Việt Nam xuất
hiện tình trạng khó truy cập do bị quá tải và kéo dài trong hơn một tháng qua,
khiến việc truy cập đọc tin tức của độc giả gặp nhiều khó khăn.

Thông báo chỉ rõ, các cơ quan chức năng, đơn vị về an toàn thông tin và đội
ngũ kỹ thuật Báo Vietnamnet xác định nguyên nhân sự cố là do các website của
Báo Vietnamnet, Tuần Việt Nam và Diễn đàn VEF bị tấn công từ chối dịch vụ phân
tán (DDOS) ở cấp độ lớn khiến các website này bị quá tải.
Lượng truy cập khổng lồ vào website này được thực hiện bởi một mạng lưới
botnet gồm hàng chục ngàn máy tính cá nhân bị nhiễm virus chiếm quyền điều
khiển và huy động vào cuộc tấn công. Các đơn vị nghiên cứu về an toàn thông tin
đã tiến hành phân tích mẫu virus này và nhận thấy đây là loại virus được thủ phạm
viết với mục đích từ đầu là để tấn công từ chối dịch vụ vào các website trong nước
như Báo Vietnamnet.
Do là loại virus được viết tinh vi, không phá hoại ngay máy tính bị nhiễm
mà ẩn náu vào các chương trình hay được người dùng trong nước chia sẻ nhiều
trên Internet như Unikey, Acrobat Reader... nên có khả năng lây lan rất rộng mà

không bị các phần mềm diệt virus phổ biến của thế giới phát hiện. Tuy nhiên đây
không phải là loại virus khó diệt, sau khi phân tích mẫu virus, các phần mềm diệt
virus nội như CMC Antivirus phiên bản miễn phí cũng đều có thể phát hiện và diệt
được virus này.
Ngoài sự ứng cứu của các đơn vị đối tác truyền thống như VDC, VTC, Zing,
CMC TI, CMC Infosec, AQTech…, Báo Vietnamnet đang tiếp tục nhờ đến sự hỗ
trợ của các đơn vị có hạ tầng lớn hơn như FPT Telecom, cũng như thử nghiệm các
phương án khắc phục khác.


Được biết, từ cuối năm 2010 cho đến đầu năm 2011, Vietnamnet đã "tiếp
nhận" không ít các cuộc tấn công từ phía hacker, trong đó có những cuộc tấn công
từ chối dịch vụ với cường độ kỷ lục với 1,5 triệu kết nối tại cùng một thời điểm
(vào ngày 27/1/2011).
Một chuyên gia trong lĩnh vực bảo mật cho biết, theo như quan sát thì số
lượng máy tính tấn công Vietnamnet lần này khoảng từ 20.000-30.000 máy tính,
trong đó có rất nhiều máy tính có IP từ Việt Nam. Điều đó đã khẳng định số lượng
máy tính nhiễm virus hay không cài phần mềm diệt virus ở Việt Nam rất lớn.
Sở dĩ cuộc tấn công kéo dài lâu như vậy là do số lượng mạng botnet và máy
chủ tấn công lớn nên rất khó khăn trong việc ngăn chặn theo địa chỉ IP.
III. Hacker công bố điểm yếu bảo mật 'chết người' của Bkav, bkav bị
hacker tấn công Ddos trong tháng 2/2012
Vào lúc 11h03 ngày 14/2/2012, người dùng không thể truy cập vào địa chỉ
forum.bkav.com.vn.
Trên trang Blogspot, tại địa chỉ hacker đã công
bố hàng loạt điểm yếu bảo mật của một máy chủ Bkav và tiếp tục đưa ra yêu sách.

Hacker tiếp tục đưa thông tin chỉ ra những lỗi bảo mật của Bkav trên trang Blog.
Ảnh chụp màn hình.
Hacker chỉ ra một cách chi tiết 8 điểm yếu về bảo mật của Bkav và đây được

coi là những lỗi nặng.
Trong điểm yếu thứ 6 và 7 như hacker đưa ra trên trang Blog thì việc "dùng
chung mật khẩu quản trị cho nhiều hạng mục, thậm chí chung với mật khẩu
MySQL, quyền sử dụng MySQL là root, hacker sẽ dễ dàng truy cập mọi dữ liệu
trên server BKAV thông qua khai thác lỗi Web Application".


Hacker cũng chỉ ra rằng, việc Bkav đã cài đặt tất cả các dịch vụ trên máy
chủ hoạt động dưới quyền quản trị - Administrator là vô cùng nguy hiểm. Nếu như
"hacker một khi đã khai thác được lỗi của một dịch vụ nào đó trên server và thâm
nhập vào sẽ có toàn quyền điều khiển server như một Administrator mà không phải
thông qua một bước rất khó khăn là "Leo thang đặc quyền".

Hình ảnh hacker cho là công cụ để lấy dữ liệu trang diễn đàn của Bkav.
Trong lần thứ hai đưa thông tin trên trang Blog này, nhóm hacker tiếp tục đưa ra
yêu cầu rút đơn kiện đối với một hacker trong một vụ việc diễn ra trước đó, nếu
không sẽ công bố các điểm yếu bảo mật máy chủ đã thu thập được.
Trả lời phỏng vấn của phóng viên VietNamNet, ông Nguyễn Minh Đức - Giám đốc
bộ phận An ninh mạng của Bkav cho biết, vụ việc vẫn đang trong quá trình điều tra
và ở thời điểm hiện tại ông không có bình luận gì.
Sáng 14/2, người dùng không thể truy cập vào diễn đàn của Bkav tại địa chỉ
forum.bkav.com.vn. Thông tin từ các diễn đàn cho thấy, nhiều khả năng forum này
bị hacker tấn công và đã mất database (cơ sở dữ liệu forum của Bkav).


Thông điệp hacker để lại. Ảnh chụp màn hình (Nguồn: HVA)
Thông điệp ở tấm hình chụp màn hình hacker để lại trên forum của Bkav là muốn
đòi lại sự công bằng cho hacker bị bắt hôm 7/2 vừa qua: "Chúng tôi đã lấy đi của
họ (Bkav) rất nhiều dữ liệu, và sẽ từng bước công bố tùy theo sự cứng đầu và thiếu
ăn năn của họ, chúng tôi sẽ cho bạn thấy sự yếu kém và ngây thơ của họ trong việc

thực hiện bảo mật cho chính server của họ...". "Yêu cầu của chúng tôi? Rút đơn
kiện hacker lịch thiệp đã giúp đỡ họ, và chính thức xin lỗi cộng đồng mạng vì sự
thiếu chín chắn của mình trong việc cư xử với những người lịch thiệp trên trang
chủ của BKAV. BKAV nên tôn trọng cộng đồng và trung thực với những hành
động của mình.", yêu cầu của nhóm tự xưng là Lulzsec để lại.


Thông điệp này cũng được đăng lại trên một blog tại địa chỉ
mà hacker đã để lại ở cuối thông điệp. Ảnh chụp màn
hình lúc 11h25 ngày 14/2/2012.
Chiều 14/2, ông Nguyễn Minh Đức - Giám đốc bộ phận An ninh mạng của Bkav
xác nhận với VietNamNet, diễn đàn Bkav có dấu hiệu bị tấn công và đội ngũ kỹ
thuật của công ty đang truy tìm thủ phạm. Được hỏi về việc dữ liệu của diễn đàn có
bị mất hay không, ông Đức cho biết, Bkav đang trong quá trình rà soát lại nên chưa
có kết luận cuối cùng.
Trước đó, ngày 2/2, webscan.bkav.com.vn (trang dùng để đánh giá lỗ hổng an ninh
của một website) không thể truy cập được. Sau đó 2 ngày, người dùng cũng không
thể truy cập vào www.bkav.com.vn. Đến 7/2, ông Nguyễn Minh Đức - Giám đốc
bộ phận An ninh mạng của Bkav xác nhận với VietNamNet rằng, Cục Cảnh sát
phòng chống tội phạm công nghệ cao (C50 - Bộ Công an) phối hợp cùng Bkav đã
xác định được nghi phạm tấn công website của Bkav. Sau khi nghi phạm bị bắt, hai
website của Bkav đã trở lại hoạt động bình thường.

Người dùng không thể truy cập vào forum của Bkav. Ảnh chụp màn hình lúc
11h03 ngày 14/2/2012.
Đầu giờ chiều ngày 14/2, diễn đàn của Bkav đã trở lại hoạt động bình thường.