Tối ngày thứ Ba, 9 tháng 10, cư dân mạng xôn xao với thông tin blog "Quan làm báo" (QLB) bị hack khoảng 12 tiếng. Bị chuyển hướng đến trang quanlambao.info với nội dung nói về Bà Đặng Thị Hoàng Yến, người được cho là chủ Blog này (Tiêu đề của bài: YÊU CẦU BÀ ĐẶNG THỊ HOÀNG YẾN DỪNG NGAY CÁC HÀNH VI BÔI NHỌ, BỊA ĐẶT, VU KHỐNG NHẰM ĐẨY ĐẤT NƯỚC VIỆT NAM VÀO NGUY CƠ NỘI CHIẾN MỘT LẦN NỮA). Không những vậy, Facebook Quan Làm Báo cũng bị hacker chiếm. Mời độc giả xem lại bài: Tin động trời: Blog “Quan Làm Báo” đã bị hack |
Với lượng truy cập khá cao (~2000 online cùng thời điểm), việc QLB bị hack đã được loan tải đi rất nhanh đến cộng đồng mạng, tuy nhiên không phải ai cũng tin QLB bị hack, mà nghĩ rằng QLB đang chơi chiêu để tự “đánh bóng” mình bằng chiêu bài cơ bản. Vì lẽ đó, hôm nay chúng tôi mang đến cho quý vị một số chứng cứ mà chúng tôi thu thập được trong thời gian vừa qua, chứng tỏ QLB bị hack thật, chứ ko phải chơi chiêu. Và đường dây của QLB có thể sẽ sớm bị tin tặc phanh phui sau khi quanlambao.vn@gmail.com bị chiếm.
Rõ ràng:
- Sau khi khôi phục lại QLB, quản trị của Blog đã tháo xuống bài viết mà hacker để lại, tuy nhiên cached Google vẫn còn:
- Sau khi khôi phục lại QLB, quản trị của Blog đã tháo xuống bài viết mà hacker để lại, tuy nhiên cached Google vẫn còn:
Hình chụp từ cache Google |
- QLB thông báo mất địa chỉ email liên hệ quanlambao.vn@gmail.com
Thông báo "khẩn" của QLB |
- QLB bị hacker nhúng mã khai thác từ địa chỉ www.weekstats.com và chuyển hướng truy cập sang trang www.quanlambao.info
QLB bị hack như thế nào?
Blog QLB đang vận hành là một dịch vụ miễn phí do Google cung cấp, vì thế để tấn công vào các server mà Google đang quản trị là chuyện không hề đơn giản, tuy nhiên nếu đã khai thác được các server của Google thì không chỉ có QLB bị tấn công mà có thể sẽ có hàng loạt trang Blogspot khác cũng rơi vào tình trạng “mất nhà”.
Sau khi tham khảo một số ý kiến từ các chuyên viên làm về An ninh mạng, có thể khẳng định QLB bị hack trong các trường hợp sau:
TH1: Đồng quản trị blog QLB bị tấn công
Để đạt được số lượt truy cập cao như QLB đồng nghĩa với việc lượng bài viết đăng tải trên QLB phải thuộc loại “khủng”, nhanh,…đăng bài trong mọi lúc, mọi nơi thì việc QLB có từ 2 quản trị trở lên là bình thường.
TH2: Chủ quản “tối cao” blog QLB bị tấn công
Đây là “thứ” mà hacker mong muốn nhất, vì chiếm được quản trị tối cao blog QLB thì họ sẽ làm được rất nhiều thứ, tất nhiên địa chỉ email quản trị này QLB sẽ bảo mật cẩn thận trong mọi tình huống nhưng không có chuyện gì là không thể xảy ra, như mọi người vẫn hay đùa trêu “hacker là những người tài năng có hạn mà thủ đoạn thì vô biên”.
Cách thức hacker tấn công QLB
Giờ chúng ta cùng xem xét đến một vài thông tin của 2 tên miền mà hacker đã sử dụng (weekstats.com và quanlambao.info).
QLB bị hack như thế nào?
Blog QLB đang vận hành là một dịch vụ miễn phí do Google cung cấp, vì thế để tấn công vào các server mà Google đang quản trị là chuyện không hề đơn giản, tuy nhiên nếu đã khai thác được các server của Google thì không chỉ có QLB bị tấn công mà có thể sẽ có hàng loạt trang Blogspot khác cũng rơi vào tình trạng “mất nhà”.
Sau khi tham khảo một số ý kiến từ các chuyên viên làm về An ninh mạng, có thể khẳng định QLB bị hack trong các trường hợp sau:
TH1: Đồng quản trị blog QLB bị tấn công
Để đạt được số lượt truy cập cao như QLB đồng nghĩa với việc lượng bài viết đăng tải trên QLB phải thuộc loại “khủng”, nhanh,…đăng bài trong mọi lúc, mọi nơi thì việc QLB có từ 2 quản trị trở lên là bình thường.
TH2: Chủ quản “tối cao” blog QLB bị tấn công
Đây là “thứ” mà hacker mong muốn nhất, vì chiếm được quản trị tối cao blog QLB thì họ sẽ làm được rất nhiều thứ, tất nhiên địa chỉ email quản trị này QLB sẽ bảo mật cẩn thận trong mọi tình huống nhưng không có chuyện gì là không thể xảy ra, như mọi người vẫn hay đùa trêu “hacker là những người tài năng có hạn mà thủ đoạn thì vô biên”.
Cách thức hacker tấn công QLB
Giờ chúng ta cùng xem xét đến một vài thông tin của 2 tên miền mà hacker đã sử dụng (weekstats.com và quanlambao.info).
Thông tin WHOIS của weekstats.com |
Tên miền weekstats.com được đăng ký sau khi QLB ra đời khoảng 3 tháng và mọi thông tin về chủ sở hữu đã được giấu kín (whois-proof)
Thông tin đăng ký bị hacker giấu kín |
Tên miền quanlambao.info được đăng ký được đăng ký vào giữa tháng 09/2012, mọi thông tin về chủ sở hữu đều là giả tạo. Tên miền này hiện nay đã bị nhà cung cấp 101domain thu hồi về (có lẽ do bà Yến đã khiếu nại).
Như đã trình bày ở trên, QLB bị hacker nhúng mã khai thác từ địa chỉ weekstats.com, với những ai đã từng quản trị Blogspot đều biết rằng để nhúng mã Javascript vào Blogspot chỉ có khả năng duy nhất phải là người có quyền quản trị tối cao và hacker đã có quyền này sau khi chiếm được tài khoản email quản trị blog QLB, hacker đã nhúng mã khai thác vào themes (giao diện) của blog chứ không nhúng vào widget.
Tại sao hacker không nhúng mã khai thác trực tiếp vào themes mà phải nhúng mã vào tên miền weekstats.com? Tại sao lại dùng tên miền weekstats.com mà không dùng tên miền khác?
Có thể nói rằng hacker đã theo dõi và chiếm được quyền quản trị blog QLB từ khá lâu, có thể trùng với khoảng thời gian mà 2 domain này được đăng ký. Việc không nhúng mã khai thác trực tiếp vào themes cho thấy hacker đã có tính toán rất kỹ, vì có thể một ngày nào đó chủ nhân của blog QLB phát hiện và thay đổi thông tin tài khoản đi thì hacker sẽ rất khó để vào lại, đồng thời hacker đã rất khôn khéo chọn đúng thời điểm lúc mà bà Đặng Thị Hoàng Yến công bố với BBC “Tôi không phải ‘Quan làm báo’”, có lẽ vì lý do sau:
Như đã trình bày ở trên, QLB bị hacker nhúng mã khai thác từ địa chỉ weekstats.com, với những ai đã từng quản trị Blogspot đều biết rằng để nhúng mã Javascript vào Blogspot chỉ có khả năng duy nhất phải là người có quyền quản trị tối cao và hacker đã có quyền này sau khi chiếm được tài khoản email quản trị blog QLB, hacker đã nhúng mã khai thác vào themes (giao diện) của blog chứ không nhúng vào widget.
Tại sao hacker không nhúng mã khai thác trực tiếp vào themes mà phải nhúng mã vào tên miền weekstats.com? Tại sao lại dùng tên miền weekstats.com mà không dùng tên miền khác?
Có thể nói rằng hacker đã theo dõi và chiếm được quyền quản trị blog QLB từ khá lâu, có thể trùng với khoảng thời gian mà 2 domain này được đăng ký. Việc không nhúng mã khai thác trực tiếp vào themes cho thấy hacker đã có tính toán rất kỹ, vì có thể một ngày nào đó chủ nhân của blog QLB phát hiện và thay đổi thông tin tài khoản đi thì hacker sẽ rất khó để vào lại, đồng thời hacker đã rất khôn khéo chọn đúng thời điểm lúc mà bà Đặng Thị Hoàng Yến công bố với BBC “Tôi không phải ‘Quan làm báo’”, có lẽ vì lý do sau:
Hình chụp từ bài viết trên QLB khi bị hack |
Quan Làm Báo bị hack là thật
Với trang cung cấp thông tin đầy “nguy hiểm” như QLB, việc sử dụng tài khoản email chính (email tối cao để quản trị QLB) là điều không thể xảy ra, không ai lại “ngu” đến thế bao giờ, vì thế email quanlambao.vn@gmail.com dùng để liên lạc với bên ngoài chỉ là email phụ (vì là email phụ việc bảo mật cho email có thể không được tốt, cụ thể cho đến giờ email vẫn chưa lấy lại được), email chính dùng để quản lý QLB đã được chủ blog QLB “chiếm lại” sau 12 tiếng “vật vã” với Google.
Theo cách thông thường khi xâm chiếm một trang thông tin nào đó, hacker thường deface (xóa hết dữ liệu) và để lại thông báo, tuy nhiên với “nhóm người từ Hoa Kỳ” họ đã rất khôn khéo, tinh tế trong việc này, họ không xóa hết các bài viết của QLB vì nếu làm vậy khác nào “họ tự hại họ”, khi đó chủ blog QLB có đầy đủ chứng cớ để trình báo với Google về việc QLB bị hack.
Liệu đường dây của QLB có bị phanh phui?
Việc mất email quanlambao.vn@gmail.com là một tổn thất to lớn đối với QLB, lượng Cộng tác viên sẽ ra sao khi mọi thông tin về họ đã bị phơi bày trước mặt hacker. Với những thông tin quý giá từ email mang lại như: danh bạ email, địa chỉ IP dùng để gửi email, các địa chỉ IP đã từng truy cập vào tài khoản email,…sẽ như thế nào nếu các thông tin này lọt vào tay An ninh mạng của Việt Nam, có lẽ hậu quả sẽ không đoán trước được.
Bình loạn:
Việc QLB hoạt động trở lại có 2 khả năng:
1/ Bị hack, nhưng chủ nhân phục hồi được email quản trị, và tiếp tục hoạt động điên cuồng.
2/ Bị hack, nhưng chủ nhân không phục hồi được. Tin tặc đã “dụ” bạn đọc liên lạc qua địa chỉ email mới là vualambao@gmail.com để dễ bề thu thập thông tin về đường dây cung cấp thông tin cho Blog này, và QLB bây giờ là giả do tin tặc điều hành. Bài cũ, chủ mới sẽ không xóa, nhưng sẽ lần lượt cho đăng những bài viết có vẻ điên khùng dần dần khác đi hòng lái dư luận và quần chúng nào ngây thơ, thiếu hiểu biết, dễ tin,…chuyển sang một mục đích khác nào đó của tin tặc.
Quan Làm Báo là ai, dựng lên mục đích gì, mọi người đã rõ.
Với trang cung cấp thông tin đầy “nguy hiểm” như QLB, việc sử dụng tài khoản email chính (email tối cao để quản trị QLB) là điều không thể xảy ra, không ai lại “ngu” đến thế bao giờ, vì thế email quanlambao.vn@gmail.com dùng để liên lạc với bên ngoài chỉ là email phụ (vì là email phụ việc bảo mật cho email có thể không được tốt, cụ thể cho đến giờ email vẫn chưa lấy lại được), email chính dùng để quản lý QLB đã được chủ blog QLB “chiếm lại” sau 12 tiếng “vật vã” với Google.
Theo cách thông thường khi xâm chiếm một trang thông tin nào đó, hacker thường deface (xóa hết dữ liệu) và để lại thông báo, tuy nhiên với “nhóm người từ Hoa Kỳ” họ đã rất khôn khéo, tinh tế trong việc này, họ không xóa hết các bài viết của QLB vì nếu làm vậy khác nào “họ tự hại họ”, khi đó chủ blog QLB có đầy đủ chứng cớ để trình báo với Google về việc QLB bị hack.
Liệu đường dây của QLB có bị phanh phui?
Việc mất email quanlambao.vn@gmail.com là một tổn thất to lớn đối với QLB, lượng Cộng tác viên sẽ ra sao khi mọi thông tin về họ đã bị phơi bày trước mặt hacker. Với những thông tin quý giá từ email mang lại như: danh bạ email, địa chỉ IP dùng để gửi email, các địa chỉ IP đã từng truy cập vào tài khoản email,…sẽ như thế nào nếu các thông tin này lọt vào tay An ninh mạng của Việt Nam, có lẽ hậu quả sẽ không đoán trước được.
Bình loạn:
Việc QLB hoạt động trở lại có 2 khả năng:
1/ Bị hack, nhưng chủ nhân phục hồi được email quản trị, và tiếp tục hoạt động điên cuồng.
2/ Bị hack, nhưng chủ nhân không phục hồi được. Tin tặc đã “dụ” bạn đọc liên lạc qua địa chỉ email mới là vualambao@gmail.com để dễ bề thu thập thông tin về đường dây cung cấp thông tin cho Blog này, và QLB bây giờ là giả do tin tặc điều hành. Bài cũ, chủ mới sẽ không xóa, nhưng sẽ lần lượt cho đăng những bài viết có vẻ điên khùng dần dần khác đi hòng lái dư luận và quần chúng nào ngây thơ, thiếu hiểu biết, dễ tin,…chuyển sang một mục đích khác nào đó của tin tặc.
Quan Làm Báo là ai, dựng lên mục đích gì, mọi người đã rõ.
0 phản hồi