Đế Chế Kinh Tế Mới Tại Nước Việt

Đám nhân viên của Quân đang ngồi thảo luận thấy hắn vừa lao đi lại đã lao ngược trở về, vẻ mặt lại còn lo lắng thì nhao nhao đứng lên. Một người trong số này lên tiếng:

Quân cũng không dài dòng mà vào thẳng vấn đề:

Quân cau mày suy nghĩ giây lát sau đó mới lên tiếng:

Quân đứng một bên sốt ruột gắt lên:

Hơi dừng lại một chút Trình quay sang một người nhân viên trong đội hỏi:

Trình nghe xong thì cau mày suy luận, nếu đúng như những gì cậu nhân viên nói thì sẽ chỉ có hai khả năng được đặt ra, một là hệ thống đã bị t·ấn c·ông từ bên trong bởi nhân viên của công ty, hai là HF có lỗi và bị khai thác lỗi đó.

Tiếp tục kiểm tra các xử lý (process) đang chạy trên hệ thống, Trình tìm ra một process có cái tên hay tuyệt: system32.exe. Process này nằm ngay cạnh system32.dll (một tập tin thư viện động của hệ thống).

Nghe tới đây thì Trình hiểu điều này cũng đồng nghĩa với việc các đầu mối để điều tra cuộc t·ấn c·ông đã bị xóa sạch và cuộc điều tra lại cuộc t·ấn c·ông của h·acker được đưa vào một ngõ cụt tối tăm.

- Quân, chính sách sao lưu giữ liệu của công ty như thế nào? Lần gần đây nhất là khi nào? (đọc tại Qidian-VP.com)

Trình đưa tay lật xem đồng hồ giây lát rồi nói:

Trưởng phòng Quân đẩy cửa đi vào theo sự cho phép của Giám đốc Trần Công Luận. Nhác thấy sắc mặt của vị giám đốc không được tốt, Quân đã biết đã xảy ra chuyện gì đó không hay rồi.

Trần Công Luận nghe xong gật đầu:

Quân lập tức trả lời:

Đã lần ra được manh mối, Trình lập tức yêu cầu Quân cho người đi tháo ổ cứng của máy tính này, gắn nó vào một máy tính độc lập với mạng của FPT Telecom và đăng nhập với mật khẩu của Administrator để bắt đầu quá trình kiểm tra. Hệ thống hoạt động bình thường. Các phần mềm được cài đặt đều là phần mềm nằm trong quy định của công ty.

- Trời đất, bọn nào lại to gan thế?

Lại trầm ngâm thêm giây lát Trình lại quay sang Huy nói: (đọc tại Qidian-VP.com)

Đám nhân viên thấy Quân nổi giận vội vàng sắp xếp chia nhau thao tác công việc.

Quân nói xong thì cúp máy rồi lại vội vàng gọi cho người bạn tên Trình đang làm Trưởng bộ phận Chống tin tặc và xử lý khủng hoảng của Công ty BKAV để yêu cầu cử nhân sự tới hỗ trợ

- Cậu yên tâm, sếp tôi đang ở nhà. Mau lên nhé!

- Cộc… cộc.. cộc

- Uhm, bọn chúng chỉ cho chúng tôi nửa ngày để chuyển khoản vào tài khoản của chúng ở nước ngoài, nếu không bọn chúng sẽ phá hủy hệ thống và công bố thông tin khách hàng ra bên ngoài làm ảnh hưởng tới uy tín của công ty.

- Đương nhiên tôi biết không phải do cậu gửi! Cậu cứ đọc hết nội dung mail đi rồi cho tôi biết ý kiến về vấn đề này.

Quân gật đầu vâng dạ rồi tiếp tục tập trung đọc nốt nội dung còn lại của email đe dọa.

- Được rồi, các cậu không nghe tôi nói cái gì à? Mau hành động đi!

Khi nhìn thấy thứ này, Trình phải công nhận rằng tay h·acker này cũng rất thông minh khi đặt tên của backdoor (3) trùng tên với một tập tin hệ thống. Nó dễ dàng đánh lừa những người thiếu kinh nghiệm và cả những người có kinh nghiệm nhưng thiếu cẩn thận. Bằng lệnh dir cùng khóa chuyển /s Trình nhanh chóng xác định được vị trí của tập tin system32.exe. Nó được đặt tại 2 thư mục là WIN2K/SYSTEM32 và WIN2K/SYSTEM32/DLLCACHE.

Mọi thứ không có gì bất thường cả. Tuy nhiên, mọi thứ bắt đầu bất thường khi Trình kiểm tra tới các tài khoản người dùng trên hệ thống. Ngoài các tài khoản Administrator, Guest, Nguyễn Việt Hoàng, Trình và đồng sự đã tìm thấy một tài khoản khác.

- Thật hay giả thế? Tôi không tin chúng làm được!

- Tối qua là 27, vậy nghĩa là tối qua vừa có một đợt sao lưu đúng không?

- Hai ngày một lần và bắt đầu vào 10h đêm các ngày lẻ trong tháng.

- …

- Được rồi! Ba mươi phút nữa chúng tôi có mặt!

Bốn mươi phút sau,

Nhận được câu trả lời khẳng định, Trình khẽ thở phào rồi nói:

Sau chừng ba mươi giây, Quân ngẩng đầu lên suy tư giây lát rồi trả lời: (đọc tại Qidian-VP.com)

Quân gật đầu:

Huy nghe Trình hỏi thì lập tức lên tiếng:

Tiếp đó, Trình sử dụng telnet vào localhost với port 23985 và kết quả nhận được là một shell lệnh của hệ thống Windows với dấu nhắc C:\> quen thuộc.

- Anh Quân? Sao thế?

- Vào đi!

- Cậu đọc cái này đi!

Một bức tranh sơ lược nhanh chóng được phác họa trong đầu Trình: h·acker t·ấn c·ông vào máy trạm của nhân viên Nguyễn Việt Hoàng để chiếm quyền điều khiển. Sau đó dùng máy này t·ấn c·ông tiếp vào các máy trong trụ sở chính và gửi email để “xin tiền”. Có vẻ hợp logic nhưng Trình cảm thấy vẫn có vài điểm chưa thuyết phục, hắn nâng cằm lẩm bẩm:

- Cậu Huy, kết quả kiểm tra sơ bộ thế nào?

Sau chừng mười phút, kết quả sơ bộ đã tới tay Quân. Mặc dù các máy chủ vẫn đang hoạt động để đảm bảo công năng vận hành của hệ thống nhưng toàn bộ đã mất quyền khống chế.

- Cho tôi kiểm tra email bọn tin tặc đã gửi tới cho Giám đốc bên FPT Telecom.

- Quá trình sao lưu có gặp vấn đề gì không?

Huy đứng lên cẩn thận xem xét tới gần ba mươi phút rồi mới quay lại báo cáo:

- Sếp, theo em chúng ta không cần vội hoảng hốt. Trước mắt em sẽ cho nhân vien kiểm tra lại hệ thống xem những nội dung trong này là thật hay giả, từ đó mới có biện pháp phản ứng thích hợp được.

- Thưa sếp, mail này không phải do em gửi!

Trình cân nhắc một chút rồi gật đầu:

- Dạ…

- Sếp, đây là loại HF hiện đại vào bậc nhất của CISCO vào thời điểm hiện tại. Firmware (2) của HF đã được cập nhật phiên bản mới nhất từ nhà cung cấp CISCO và tính tới thời điểm cuộc t·ấn c·ông bị phát hiện, vẫn chưa có một lỗi bảo mật có thể khai thác nào về dòng HF này được nhà cung cấp cũng như các website bugtraq thông báo. Đồng thời em kiểm tra máy chủ thì toàn bộ các máy chủ đó đã bị xóa sạch sẽ. Trên ổ cứng của 3 máy chủ chỉ còn lại một tập tin 0wned. Như vậy là bọn chúng đã phi tang sạch sẽ. Mọi cố gắng phục hồi dữ liệu trở nên vô nghĩa khi ổ cứng bị ghi đè lên một bảng FAT mới.

Sau khi được Nguyễn Việt Hoàng xác nhận anh ta không hề cài thêm bất cứ một account nào trên hệ thống. Như vậy tài khoản này có thể là một account được tạo ra để lần sau đăng nhập dễ dàng hơn.

**************

- Dạ, em biết rồi sếp! Chào sếp!

Trần Công Luận lập tức gật đầu:

- Báo cáo sếp, Hệ thống mạng của công ty này sử dụng một Hardware Firewall (HF) của CISCO có chức năng VPN (1) một Proxy Server kiêm luôn chức năng làm Software Firewall (SF) chạy trên nền Linux. Toàn bộ hệ thống được đặt sau Firewall (tường lửa) biệt lập hoàn toàn với Internet và không chấp nhận bất cứ một kết nối nào từ bên ngoài. Như vậy các cuộc t·ấn c·ông từ ngoài vào sẽ được loại bỏ ngay bởi HF.

- Báo cáo các anh, tối qua mọi việc diễn ra bình thường không gặp cản trở gì cả.

- Sự vụ hơi gấp, tôi sẽ báo cáo lại lãnh đạo rồi cùng sang bên cậu. Giám đốc bên cậu không đi công tác chứ?

- Được, các cậu hành động gấp đi! Sự việc khẩn cấp, cái gì cần cứ làm trước báo cáo sau, tôi đồng ý hết! (đọc tại Qidian-VP.com)

- Vậy hướng xử lý bây giờ ra sao? Chẳng lẽ phải chuyển tiền cho bọn chúng?

- Các cậu lập tức rút cable của toàn bộ máy chủ ra khỏi hệ thống mạng cho tôi.

- Alo, Quân à? Sáng sớm gọi mình có việc gì vậy? – Tiếng Trình vang lên.

- Đúng thế!

- Sao rồi cậu Quân?

- Tốt! Vậy là dữ liệu có thể backup được cơ bản. Trường hợp dữ liệu máy chủ có bị xóa thì chúng ta vẫn có thể khôi phục được.

(1) VPN : Virtual Private Network : mạng riêng ảo. Sử dụng công nghệ VPN có thể thiết lập một mạng LAN cho công ty thông qua Internet giúp cho nhân viên của công ty có thể làm việc tại bất cứ đâu.

Chương 199: Bkav Điều Tra

Nhân viên lập tức răm rắp làm theo lời của Trình theo đó màn hình các máy chủ này lập tức xuất hiện những hình hoạt hình nhảy múa và rồi tất cả chỉ còn một màu đen!

- Vậy cậu cho người làm nhanh đi!

Quân nghi hoặc nhưng vẫn y theo lời vị Giám đốc ngồi xuống đối diện ông ta chăm chú nhìn vào màn hình.

Nói xong, Quân hấp tấp đứng lên chạy ngược về phòng kỹ thuật.

Quân đưa mắt nhìn về phía một người nhân viên, người này lập tức hiểu ý trả lời:

- Cậu Huy, kiểm tra ngay phần HF xem sao.

(2) Firmware: là một chương trình máy tính được tích hợp sẵn trong bộ nhớ chỉ đọc (ROM - Read Only Memory) của thiết bị phần cứng. Nó sẽ nhận nhiệm vụ xử lý các tác vụ giống như một hệ điều hành.

Kiểm tra thư mục Start Up của hệ thống – hoàn toàn bình thường, không hề có một file nào gọi tới system32.exe. Kiểm tra hệ thống System Registry, Trình chợt mừng húm vì cảm giác mình khám phá ra thêm một manh mối, system32.exe đã được gọi khi máy khởi động với khóa chuyển như sau: system32.exe -p 23985 -d -L -e cmd.exe.

Tin tức này lập tức khiến Quân rơi vào hoang mang. Ngồi thừ người ra giây lát hắn run run bấm điện thoại gọi cho Trần Công Luận, vị giám đốc dường như là đang trực nên lập tức nhận máy:

(3) Backdoor: cửa sau. Một số quản trị viên sẽ sử dụng Vùng tin cậy (trusted zone) để loại bỏ các kết nối từ các máy tính nằm ngoài vùng IP này. Điều này giúp giảm bớt tải hệ thống, bảo mật hơn nhưng nếu chủ quan sẽ b·ị đ·ánh lừa. Các h·acker cao thủ có thể g·iả m·ạo IP để thực hiện các kết nối b·ất h·ợp p·háp từ IP ko phải nằm trong Trusted Zone.

- Cái gì? Sao lại có thể vậy được?

Quân hiểu ý Trình, dù sự việc có gấp nhưng đây rõ ràng vẫn là một vụ giao dịch nên cần lãnh đạo hai bên có thỏa thuận và thống nhất về giá cả dịch vụ trước khi thực hiện. Trình không thể tự ý đưa người sang bên này xử lý sau đó mới bàn bạc phí được.

Dữ liệu sau đó rất nhanh có trên tay Trình. Phân tích email header và log của mail server, hắn nhận ra rằng email này được gửi từ IP 192.168.4.36. Lần theo địa chỉ IP này Trình biết được email này được gửi từ Bộ phận quản lý khách hàng và chiếc máy sở hữu địa chỉ IP này chính là một máy trạm (workstation) làm việc của nhân viên tên Nguyễn Việt Hoàng - quản lý một trang tin trong công ty. Máy tính này sử dụng hệ điều hình Windows 2000 Professional.

- Các cậu, Giám đốc vừa nhận được email đe dọa t·ống t·iền. Rất có thể hệ thống dữ liệu của chúng ta đã bị tin tặc t·ấn c·ông và khống chế. Mau tiến hành kiểm tra lại cho tôi!

Nghĩ tới đây, Trình ra lệnh cho nhân viên: (đọc tại Qidian-VP.com)

Sau khi quyết định chạy thử tập tin system32.exe với đủ các khóa chuyển, Trình xác định được nó chính là netcat. Một công cụ quen thuộc của các quản trị viên và cũng là một backdoor lợi hại của những kẻ xâm nhập. Nó như một chiếc đũa thần cho những kẻ xâm nhập với hàng loạt những chức năng như kết nối tới một máy chủ, quét cổng, truyền tải tập tin, và hoạt động như một backdoor.

- Trình hả? Hệ thống máy chủ của bên tôi đang bị tin tặc khống chế, ông có thể lập tức sang bên này xử lý được không?

- Vâng! Em đi xử lý ngay!

Trần Công Luận gật đầu:

- Sao? Nghiêm trọng vậy à?

Quân vội vàng hạ lệnh:

Giá cả và các điều khoản cơ bản rất nhanh được Trần Công Luận và giám đốc kinh doanh của BKAV thông qua. Theo đó đội ngũ nhân sự của BKAV do Trưởng bộ phận Chống tin tặc và xử lý khủng hoảng Lê Công Trình trực tiếp dẫn đầu đang tích cực làm việc với đội ngũ kỹ thuật của FPT Telecom.

Quân nói xong thì đám nhân viên loạn thành một đoàn:

- Thưa sếp, có lẽ việc này phải nhờ tới đơn vị chống tin tặc chuyên nghiệp tới can thiệp. Xin sếp phê duyệt chủ trương để bọn em mời gấp chuyên gia của BKAV đến xử lý!

- Dạ, báo cáo sếp, đúng… đúng là chúng ta bị hack rồi ạ. Toàn bộ máy chủ đã bị khống chế!

- Vâng, sếp!

- Nhưng rốt cục đó là cái gì được chứ?

Đầu dây bên kia tĩnh lặng mất mấy giây sau đó mới có tiếng phản hồi:

Trình khi này là người đang lên tiếng:

Ghi chú:

Ngay khi vừa lướt qua được nội dung những dòng đầu tiên Quân đã trợn mắt ngoác mồm lên rồi vội vã nhìn Trần Công Luận giải thích: