Mịt mù chân tướng nhóm hacker Sinh Tử Lệnh

Chúng ta mới chỉ ở vào quý đầu tiên của năm 2012, tuy nhiên tình trạng hacker tấn công chiếm quyền kiểm soát những website đình đám tại Việt Nam đã lên tới mức báo động. Lần lượt những trang web của Bkav, Unikey, website trường nơi em “Quỳnh Anh got talent” học tập và đình đám nhất là vụ báo điện tử VietNamNet bị hacker hỏi thăm.

 

Cho đến tận sáng ngày 22/3 vừa qua, Đại tá Trần Văn Hòa, Cục phó Cục Cảnh sát phòng chống Tội phạm Công nghệ cao – C50 (Bộ Công an) đã tuyên bố tại một cuộc hội thảo về bảo mật tại Hà Nội rằng thủ phạm tấn công website của Bkav và Báo điện tử VietNamNet là do nhóm hacker mang tên “Sinh Tử Lệnh” gây ra. Vậy nhóm hacker này có thân thế ra sao?

 

Theo Đại tá Trần Văn Hòa, báo điện tử VietNamNet bị Sinh Tử Lệnh tấn công.

Cái tên “Sinh Tử Lệnh” đã là chủ đề bàn tán sôi nổi của giới bảo mật trong nước từ năm 2010, 2011 bởi nhóm đã tấn công chiếm quyền kiểm soát rất nhiều trang web và blog nổi tiếng tại Việt Nam. Sau mỗi lần hacker xâm nhập và phá hoại thành công đều để lại hình ảnh một tấm thẻ bài mang tên Sinh Tử Lệnh trên giao diện trang web. Tấm “lệnh bài” đó đã từng là nỗi khiếp sợ một thời của giới webmaster và các chủ blog.

 

"Lệnh bài" Sinh Tử Lệnh.

Từ năm 2010 tới nay, nhóm Sinh Tử Lệnh thực hiện rất nhiều vụ tấn công vào những trang web đình đám như VietNamNet, hệ thống website của hãng bảo mật Bkav, Unikey, blog (tiêu biểu nhất là blog của nhạc sĩ Tô Hải) và “gây thù chuốc oán” với Hvaonline.net, (diễn đàn hacker Việt Nam, đã từng bị nhóm tin tặc xâm nhập vào sever và đánh cắp thông tin).

 

Hơn nữa, cách thức gây sự chú ý của nhóm cũng là một yếu tố khiến dư luận cực kì quan tâm. Đã có một thời kì, Sinh Tử Lệnh chuyên đi “dẹp loạn” những trang tin lề trái (trong cách nói ẩn dụ “lề trái”, “lề phải”: lề trái ám chỉ những trang web, blog, cá nhân… chuyên đăng tin phản động, còn báo chí nước nhà là báo lề phải).  Đáng nói ở chỗ, sau một thời gian hoạt động, Sinh Tử Lệnh bắt đầu đan xen một số vụ tấn công phá hoại như xâm nhập vào hàng loạt website nổi tiếng tại Việt Nam, đánh cắp thông tin cá  nhân, tấn công từ chối dịch vụ (DDoS).

 

Hình ảnh một blog bị Sinh Tử Lệnh tấn công.

Dư luận hiện tại có rất nhiều thông tin trái chiều về danh tính của nhóm tin tặc này. Thậm chí khoảng giữa tháng 7/2011, không ít trang báo đã đăng tin rằng Sinh Tử Lệnh thật sự là một người tên Tuấn, sinh năm 1978 tại Quảng Nam, có nickname tohoangvu. Hiện Tuấn đang sống tại Sài Gòn và hoạt động dưới vỏ bọc là một nhà thiết kế (!?).

 

Trước đó vào những tháng cuối năm 2010, trên mạng cũng đã rộ lên tin tức về danh tính của Sinh Tử Lệnh khởi nguồn từ diễn đàn vietland... . Theo những gì cư dân mạng bàn tán, Sinh Tử Lệnh là một nhóm sinh viên du học tại Mỹ, rất trẻ và đều đang học Tiến sĩ các ngành khoa học. Người cầm đầu nhóm sinh ra tại Hải Phòng, tốt nghiệp bằng Toán của trường đại học Bách khoa Hà Nội, có “nét mặt bầu bĩnh, đeo kính nhìn rất hiền lành và có cô bạn gái cũng dễ thương không kém”. Mặc dù sau đó chính tác giả đã đăng một bài đính chính về thông tin đã đưa trên vietland... là hoàn toàn sai, nhưng làn sóng bình luận về danh tính nhóm hacker đình đám này vẫn tiếp diễn.

 

Tác giả Xuân Nhi đã từng đưa thông tin về Sinh Tử Lệnh lên Vietland...

Thậm chí một số bloger còn viết thẳng trên blog của mình rằng: thực chất Sinh Tử Lệnh là nhóm hacker được đào tạo bởi chính hãng bảo mật Bkav, hoạt động dưới sự điều khiển của C50 (Bộ công an) để “dẹp loạn” những trang web “lề trái” tại Việt Nam. Tuy nhiên, thông tin này hoàn toàn không đáng tin cậy, bởi chẳng có bằng chứng nào đảm bảo cho sự chính xác cũng như nguồn gốc của chúng.

 

Tại diễn đàn hacker Việt Nam Hvaonline.net, thông tin trong topic “RCE và vô hiệu hóa VB.NET” của thành viên TQN có phần nghiêm túc và rõ ràng hơn cả. Cùng với sự góp sức của nhiều thành viên khác, tác giả đã đưa ra những bằng chứng rất thuyết phục về hoạt động của nhóm hacker Sinh Tử Lệnh sau khi dày công nghiên cứu và tìm hiểu. Theo đó, đúng là có một người tên Tuấn sinh năm 1978, nickname tohoangvu đã bị phát hiện có liên quan đến hoạt động của nhóm tin tặc. Tuy nhiên, bằng chứng tìm được không đủ để xác minh liệu Tuấn có phải là thành viên của Sinh Tử Lệnh hay chỉ là victim (con tin, nạn nhân bị những tin tặc sử dụng làm lá chắn).

 

Qua phân tích một file .exe mạo danh file .doc được Sinh Tử Lệnh gửi qua mail, tác giả phát hiện ra nhóm tin tặc này gồm khoảng 2, 3 team tham gia viết malware chứ không phải chỉ là một người. Khả năng viết code của nhóm rất khá, và có vẻ như Sinh Tử Lệnh được ai đó (hoặc một tổ chức nào đó) huấn luyện kĩ lưỡng, đầu tư nhiều công sức, tiền bạc để thực hiện các vụ tấn công với quy mô lớn.

 

Một email chứa mã độc. (ảnh: Hvaonline.net).

Những thành viên của diễn đàn HVA còn tìm ra thêm một thông tin thú vị: dường như có một người có nicknameWu Yu Zhen có liên hệ mật thiết với những hoạt động của nhóm. Mặc dù vậy rất khó xác định danh tính và quốc tịch của người này, bởi y có thể viết và sử dụng cả tiếng Việt lẫn tiếng Trung một cách thành thạo, nhưng lại post nhạc Hoa, đăng ảnh thư pháp và diễn viên Hồng Kông như một người Trung Quốc đích thực. Ngay lập tức, tin này dấy lên làn sóng dư luận trên mạng rằng Sinh Tử Lệnh là nhóm hacker thân Trung Quốc. Nhưng đó chỉ là những võ đoán bởi các thông tin đưa cũng chưa thể xác minh xem thành viên của Sinh Tử Lệnh có xuất xứ từ đâu, liệu có nhiều người “giỏi” tiếng Trung hay không. 

 

Đặc biệt hơn, topic của thành viên TQN dường như đã “rút dây động rừng” nên bị nhóm Sinh Tử Lệnh theo dõi rất kĩ, mỗi bằng chứng về Wu Yu Zhen vừa được gửi link thì địa chỉ đó đã ngay lập tức không còn tồn tại. Toàn bộ thông tin về Wu Yu Zhen trên mạng cũng bị xóa trong vòng một ngày.

 

Tuy nhiên thật đáng tiếc, topic này đã dừng lại hồi cuối tháng 8/2011, khi thông tin về Sinh Tử Lệnh vẫn còn quá mông lung, mịt mờ. Bởi các thành viên diễn đàn HVA chỉ có thể phân tích, vạch mặt một phần, để có thể điều tra và triệt phá một cách tường tận cần có sự giúp đỡ của các nhà mạng và cơ quan chức năng. Cho tới nay đã hơn nửa năm trôi qua, Sinh Tử Lệnh vẫn tồn tại và có lẽ lại bắt đầu thực hiện các hoạt động phá hoại như đại tá Trần Văn Hòa khẳng định.

 

Sự thật về nhóm hacker Sinh Tử Lệnh vẫn chưa được sáng tỏ.

 

Thật sự chúng ta không thể biết được một tin tặc nào đó (hoặc một nhóm tin tặc) chính xác là ai, hay là những ai. Điều này là hiển nhiên bởi trừ khi họ là những hacker mũ trắng, nếu không sẽ chẳng hacker nào khôn ngoan tới mức tiết lộ cho cả thế giới biết được danh tính thực sự của mình. Đối với Sinh Tử Lệnh cũng vậy, tất cả những thông tin bạn đọc trong bài chỉ là phỏng đoán, được tập hợp từ nhiều manh mối khác nhau trên internet. 

 

Theo GenK

Read more »

BKAV cầu cứu Mediafire trong vụ hack ngày 14/2 ?

Vào ngày 14/02 vừa qua, nhóm hacker tự xưng là Lulzsec Việt Nam đã công bố một liên kết tải về dữ liệu database của forum BKAV trên trang blog của nhóm, sau khi thực hiện tấn công.

Tập tin này được nén với định dạng RAR và tải lên một trong những dịch vụ lưu trữ và chia sẻ rất có uy tín, đó là Mediafire. Điều đáng nói, ngay sự việc rất nghiệm trọng này, BKAV vẫn giữ im lặng và không đưa ra bất cứ bình luận nào.

Ảnh chụp bài viết mới nhất vào ngày 25/02 trên trang blog của Lulzsec Việt Nam.

 

Vào ngày hôm qua 25/02, nhóm hacker này đã công bố ảnh chụp nội dung bức được cho là của người đại diện BKAV gửi cho Mediafire với yêu cầu ban quản trị Mediafire xóa bỏ tập tin database của forum BKAV. Nội dung nguyên văn bức thư đó như sau:

 

"The file dump.zip identified by the key (t85mx5vnr24d4fg) has been deleted by MediaFire support. 
The reason for deletion was: 

My name is Bach Thanh Le, the representative of Bkav Corporation – antivirus software company from Vietnam. 
1. We indentify that the content of the file at following addresses is the database of our forum (forum.bkav.com.vn). The database has been stolen by hackers and has been uploaded to MediaFire. http://www.mediafire.com/?t85mx5vnr24d4fg 
2. We indentify that the file containing our database is owned by Bkav and it has been infringed. It contains private/personal information of our members (emails, encrypted passwords and discussion contents) on our forum (forum.bkav.com.vn). 
3. We indentify that Bkav is the owner of the database, which has been stolen and uploaded to MediaFire at addresses above . The file needs to be removed from the link at addresses above. 
4. Our Contact information: Dr. Bach Thanh Le Director - Bkav Contact Center Tel : (84 4) 3767 7090 - Ext: 1221 Fax : (84 4) 3868 4755 Mobile: (84) 913 55 22 22 Email: lebt@bkav.com.vnWebsite: http://www.bkav.com.vn/ Address: Bkav Contact Center, Bkav , Bkav Building, Yen Hoa New Town, Cau Giay Dist, Hanoi, Vietnam 
5. We state that the distribution of our private database by hackers is not authorized by Bkav. 
6. We state that the information we have provided is accurate, and we request MediaFire to remove the abused file from your system. Dr. Bach Thanh Le Director - Bkav Contact Center Tel : (84 4) 3767 7090 - Ext: 1221 Fax : (84 4) 3868 4755 Mobile: (84) 913 55 22 22 Email: lebt@bkav.com.vnWebsite : http://www.bkav.com.vn/ Address: Bkav Contact Center, Bkav , Bkav Building, Yen Hoa New Town, Cau Giay Dist, Hanoi, Vietnam 

This is a post-only mailing. Replies to this message are not monitored or answered. "

Ảnh chụp hacker công bố bức thư được cho là của BKAV gửi yêu cầu xóa file cho Mediafire.

Bên cạnh việc công bố bức thư của BKAV cầu cứu Mediafire. Lulzsec Việt Nam cũng cho biết rằng việc làm này của BKAV hoàn toàn không mang lại hiệu quả vì hiện tại nhóm này có thể dễ dàng upload tập tin này lên một nơi khác.

Ảnh chụp hacker công bố liên kết tải về toàn bộ thông tin sau cuộc tấn công khai thác tám lỗi bảo mật của BKAV.

Ngoài ra, sau khi Lulzsec Việt Nam công bố tám lỗi bảo mật đặc biệt nghiêm trọng của hệ thống máy chủ của BKAV, cục Cảnh sát phòng chống tội phạm công nghệ cao (C50 - Bộ Công an) cho rằng đây là thông tin hoàn toàn bịa đặt.

Tuy vậy, theo những thông tin mà nhóm hacker này đăng tải lên forum về an ninh mạng rất lớn của Việt Nam - HVA, BKAV đã tìm cách hủy link tải về tệp dữ liệu về máy chủ BKAV.

Sự việc vẫn cần tiếp tục được làm rõ vì có quá nhiều thông tin trái chiều. Nếu sự thật BKAV phải cầu cứu Mediafire thì tại sao ban quản trị diễn đạt không ngay lập tức đưa ra thông báo tới toàn thể thành viên? Tại sao BKAV phải tìm cách hủy link tới tệp dữ liệu BKAV System info khi C50 khẳng định thông tin hacker đưa ra là bịa đặt?

Theo GenK

Read more »

Thông tin “lỗi” bảo mật của Bkav là hoàn toàn bịa đặt ?

Theo Đại tá Trần Văn Hòa, Cục phó Cục Cảnh sát phòng chống tội phạm công nghệ cao (C50 - Bộ Công an), cơ quan điều tra đã xác định được hacker, tác giả của blog cá nhân công bố những thông tin tấn công Bkav. Ngoài ra, cũng theo ông Hòa, những thông tin, bài viết về Bkav mà hacker công bố trên blog cá nhân và đang gây xôn xao dư luận là hoàn toàn bịa đặt.

Sáng ngày 14/2, trên trang blog cá nhân, một nhóm hacker tự xưng Lulzsec đã thông báo về việc tấn công trang diễn đàn Bkav (forum.bkav.com.vn) và công bố nhiều thông tin liên quan đến cơ sở dữ liệu các thành viên của diễn đàn này.

Trước sự im lặng của Bkav, ngày 24/2, nhóm tin tặc tiếp tục công bố những sơ hở trong bảo mật của công ty này như đội ngũ quản trị đã sử dụng chung một mật khẩu cho nhiều hạng mục website và password đó tương đối dễ đoán…

Trước đó, vào ngày 2/2, một hacker đã khai thác lỗ hổng và tải lên thành công file html vào máy chủ Webscan của Bkav kèm lời khẳng định "đã bị hack". Sau đó 2 ngày, Cục Cảnh sát phòng chống tội phạm công nghệ cao (C50 - Bộ Công an) và Bkav đã xác định kẻ tấn công vào website WebScan là nhân viên bảo mật của một công ty công nghệ thông tin tại Hà Nội.

Theo ICT News

Read more »

Anymous lại công bố thông tin mật của BKAV

 

Mới đây nhóm Anymous lại tiếp tục làm lộ các thông tin mật của BKAV và tuyên bố sẽ tiếp tục trả thù nếu BKAV không lên tiếng về vụ việc trước đây.
Dưới đây là 1 số thông tin đã được đăng tải trên bkavop.blogspot.com :

Chúng tôi kiên nhẫn đợi chờ sự thay đổi tích cực từ BKAV, nhưng đáp lại lòng thành của chúng tôi chỉ là sự im lặng kéo dài, BKAV chỉ tích cực trong việc viết thư thỉnh nguyện Google đóng tất cả các tài khoản của chúng tôi.

BKAV rõ ràng không muốn thực hiện yêu cầu chúng tôi đưa ra, họ không muốn thay đổi để tốt đẹp hơn, vì đồng tiền họ sẵn sàng tìm cách tống tù bất kỳ ai làm lộ ra sự yếu kém và ngu dốt của họ trong việc làm bảo mật, vì tiền họ sẵn sàng lừa dối khách hàng của họ rằng họ là "Trung tâm an ninh mạng giỏi nhất thế giới" trong khi họ không thể bảo vệ hệ thống của họ một cách nghiêm túc. Người tài ở BKAV đã rời đi hết rồi, bởi vì khả năng ngồi tù do làm việc cho BKAV là rất cao nên chúng tôi có lời khuyên rằng: không ai nên apply vào công ty này kẻo sự nghiệp đi tong!

Chúng tôi xin nhắc lại một lần nữa

Yêu cầu của chúng tôi ?

Rút đơn kiện hacker lịch thiệp đã giúp đỡ họ, và chính thức xin lỗi cộng đồng mạng vì sự thiếu chín chắn của mình trong việc cư xử với những người lịch thiệp trên trang chủ của BKAV
 BKAV nên tôn trọng cộng đồng và trung thực với những hành động của mình

Nếu không ?

Trò vui sẽ tiếp tục!

Thêm nữa

Chúng tôi sẽ rất vui lòng nghỉ ngơi đôi chút nếu BKAV thực hiện việc chấn chỉnh lại đội ngũ 

"Sứ giả thiện chí nhưng thích khiêu chiến" 

của họ

Ngoài ra, một số tài liệu từ server của BKAV cũng được đăng tải tại trang này : http://bkavop.blogspot.com/2012/02/mon-qua-so-2-man-tau-hai-ve-bao-mat-cua.html

 

Read more »