Diễn tập ứng cứu website bị tấn công

(SGGP).- Khoảng 3 giờ sáng, bộ phận quản trị website của một quận ở TPHCM đã thông báo đến UBND TPHCM về việc website của quận đã bị tê liệt hoàn toàn. Nhân viên kỹ thuật bị chiếm quyền truy cập hệ thống, người dùng không thể đăng nhập vào. Nhận được tin, Phó Chủ tịch UBND TPHCM Lê Mạnh Hà cùng Phó Giám đốc Sở TT-TT TPHCM Nguyễn Anh Tuấn có mặt tại Sở Chỉ huy an ninh thông tin TP để chỉ đạo. Một đội đặc nhiệm gồm các kỹ sư công nghệ thông tin (CNTT) nhanh chóng được triển khai đến hiện trường đặt máy chủ của website này (tại Công viên phần mềm Quang Trung) để xử lý sự cố…

Tại hiện trường, đội đặc nhiệm phát hiện hàng ngàn “máy tính ma” đang không ngừng tấn công vào hệ thống máy chủ vận hành website một quận. Lưu lượng dữ liệu truy cập có lúc lên đến 15GB khiến website gần như tê liệt hoàn toàn. Phán đoán nhanh đây có thể là một cuộc tấn công từ chống dịch vụ (DDOS), đội đặc nhiệm liền đưa ra các biện pháp: nâng băng thông truy cập dữ liệu cho máy chủ; sử dụng bức tường lửa để thanh lọc và ngăn chặn các nguồn truy cập do “máy tính ma” gây ra; đồng thời, tiến hành rà soát máy chủ để tìm kiếm mã độc. Hơn 20 phút trôi qua, tình trạng website vẫn chưa có dấu hiệu phục hồi.

Nhận thấy tình hình có khả năng còn diễn biến phức tạp khó lường, tại Sở Chỉ huy, đồng chí Lê Mạnh Hà đã liên lạc Bộ Quốc phòng xin hỗ trợ. Vài phút sau, đội ứng cứu khẩn cấp do Trung tướng Ngô Văn Sơn, Cục trưởng Cục CNTT - Bộ Quốc phòng cùng các cán bộ đã đến tiếp viện. Bằng thiết bị dò quét, nhóm ứng cứu phát hiện trong hệ thống website tồn tại một mã độc có khả năng điều khiển và xóa sạch toàn bộ dữ liệu có trên website.

Đội ứng cứu đã nhanh chóng tiêu diệt mã độc, chiếm trở lại quyền điều khiển hệ thống. Song song đó, một thiết bị phòng chống tấn công DDOS cũng được sử dụng để tìm ra máy chủ đang điều khiển các hệ thống máy tính ma khác tấn công vào hệ thống website. Sau hơn 20 phút ứng cứu, website đã hoạt động trở lại bình thường.

Chưa kịp nghỉ ngơi, đội đặc nhiệm lại tiếp nhận một nguồn tin từ Cục CNTT-Bộ Quốc phòng thông báo vừa phát hiện một số văn bản mật của UBND TPHCM bị rò rỉ và đang được chia sẻ trên mạng. Công viên phần mềm Quang Trung (nơi đặt máy chủ hệ thống thông tin TPHCM) cũng đã xác nhận có rò rỉ các văn bản mật này. Nhóm ứng cứu liền tiến hành các biện pháp gồm dò quét hệ thống để tìm lỗ hổng; tiến hành phân tích các mã độc đã phát hiện; truy xuất nhật ký hệ thống để tìm các dấu vết tin tặc để lại…

Trong một thời gian ngắn, nhóm ứng cứu xác định nguồn phát tán mã độc xuất phát từ email của một cán bộ thuộc UBND TPHCM. Người này đã nhận được một thư điện tử kèm theo mã độc có khả năng chiếm đoạt hệ thống máy tính và mật khẩu của hộp thư này. Từ đây, tin tặc tiến hành lấy các văn bản mật lưu trên máy tính hoặc các email xử lý công việc trước đó, rồi cho phát tán trên mạng. Nhóm ứng cứu đã ngăn chặn quyền chiếm đoạt của mã độc, đồng thời làm sạch hệ thống máy tính tránh để mã độc lây lan.

Buổi diễn tập được tổ chức vào chiều 7-12, với hai kịch bản trên đã diễn ra “nghẹt thở” trong hơn 2 giờ đồng hồ với sự theo dõi của đông đảo lãnh đạo Sở TT-TT các tỉnh, thành, cán bộ các quận - huyện, sở - ngành, doanh nghiệp.

TƯỜNG HÂN