Vụ hack VNPT: thủ phạm tấn công và các vấn đề liên quan

_conan_

W-------
15/03/2015
0
16 bài viết
Vụ hack VNPT: thủ phạm tấn công và các vấn đề liên quan
Chào các bạn, hôm nay đọc thấy có vụ VNPT bị hack, nhiều báo đăng.

http://ictnews.vn/cntt/bao-mat/thon...hach-hang-vnpt-bi-hacker-cong-khai-124195.ict
http://sohoa.vnexpress.net/tin-tuc/...ach-hang-vnpt-roi-vao-tay-hacker-3157532.html

Mấy cái lỗ hổng là chuyện thường ngày, lập trình viên ở VN đa số làm cho xong, nhất là mấy trang đặt hàng theo đấu thầu của mấy cơ quan nhà nước nên cứ làm chạy được là tốt lắm rồi.

Đọc qua thông tin, chủ nhật rảnh rỗi, kết hợp với vài cú Google, mình phát hiện ra vài điều, xin chia sẻ cùng các bạn, có điều gì thấy chưa đúng, mọi người cứ trao đổi.

1. DIE Group là ai ?

- Thông tin kẻ tấn công: nhóm hacker tấn công tự xưng là DIE Group

14908931931.jpg

Tên người post bài này đã bị xóa mờ, nhưng qua giọng điệu thì đây khả năng sẽ là Admin của nhóm này.
Thử Google từ khóa “Admin DIE Group” ra 3 kết quả tìm kiếm “khả nghi” liên quan tới tấn công DDoS

14908931932.jpg

Thử bấm vào 1 link thì ra thông tin sau, ô tìm được Admin của DIE Group là JCAlex Min rồi.

14908931943.jpg

Thử search thêm thì hóa ra đồng chí JCAlex Min này trẻ trâu phết, DDoS 1 loạt các site và Forum, sau đó quay clip up lên Youtube. Điểm qua các “thành tích” DDoS thì thấy có Voz, Tech24.vn, SinhvienIT.net và cả Whitehat.vn :)

Rảnh rỗi ngồi xem mấy cái clip, cái Clip DDoS Voz mới nhất vào 5/2/2015 - https://www.youtube.com/watch?v=L9fm3XYZbUo thì hay quá, JCAlex Min này tự tin vừa tấn công vừa chat FB với nhóm DIE Group, dễ dàng nhận thấy nick FB của JCAlex Min là “Hoàng Phúc” :) (các bạn xem vào phút 1:30 nhé).

14908931944.jpg

Xem tiếp, thì JCAlex min lại “vô tình” để lộ các thành viên khác trong DIE Group, ta cùng điểm mặt
- Hoàng Phúc.
- Hiếu Phạm
- Kit Hero
- Sasuke Hero
- Dimitri Putin Jr.
- Dương Đoàn
- Duy Skye Lê
- …
14908931945.jpg

Ảnh chụp từ clip của JCAlex Min

Như vậy tới đây ta đã biết DIE Group sơ bộ gồm những nick nào (tất nhiên tới giờ có đổi nick dùng tên thật theo yêu cầu của anh Mark hay không thì mình không biết). Các thành viên trong DIE Group chắc phải cám ơn JCAlex Min vì đã làm cho mình nổi tiếng :)

Và bây giờ câu hỏi cuối cùng về DIE Group là: Vậy tóm lại có ai có tên tuổi có thẻ tóm đuôi được nào, chứ trên mạng thì nick FB chả để làm gì.
Trả lời câu hỏi này, tôi lại Google cái nữa, cái này có cả tên thật và số điện thoại nhé :)

14908931946.jpg

Vậy chốt lại: DIE Group có Admin là JCAlex Min, tên thật là Nguyễn Lê Hoàng Phúc, năm nay 25 tuổi (năm 2013 là 23 tuổi ), ĐT: 0188.790.355, Gmail: [email protected].

Và ảnh bạn ấy đây:

14908931947.jpg


Tôi tự hỏi tại sao hacker mà lại ẩu tới mức lộ nhiều thông tin thế, tôi tìm được cái này, các bạn chịu khó đọc:
http://huytq.me/blog/2014/10/30/gui-ban-hacker-jcalex-min.html

2. Các vấn đề xung quanh vụ việc này

Quay trở lại thông tin vụ hack được phát đi từ trang Security Daily, nếu tinh mắt, các bạn sẽ thấy DIE Group là nhóm kín, tức là chỉ những thành viên của nhóm mới xem được các thông tin
14908931948.jpg

Ảnh: Security Daily
Tôi thấy có 2 câu hỏi cần đặt ra ở đây


  • Thứ nhất: Tại sao SecurityDaily có được ảnh chụp màn hình này khi nhóm này là đóng, người ngoài không xem được ?

Và câu trả lời đơn giản là SecurityDaily có người thuộc DIE Group hoặc ít nhất có quan hệ với thành viên nào đó thuộc Group này. Đây là thông tin tốt hỗ trợ điều tra tìm ra thủ phạm tấn công vào VNPT.


  • Thứ hai: Vậy mục đích thực sự của SecurityDaily là gì ? có phải muốn cảnh báo thực sự không hay vì lý do gì khác ?

Tôi tiếp tục lục lại bài gốc trên trang của SecurityDaily http://securitydaily.net/nhom-die-group-cong-khai-hon-10-000-khach-hang-cua-vnpt/

14908931949.jpg
Đọc tới cuối bài ở dòng khoanh đỏ ở ảnh trên, chắc hẳn bạn cũng cảm nhận thấy phải chăng đó chính là mục tiêu PR và câu view cho website của SecurityDaily ? Tôi chưa bao giờ thấy một việc khẩn cấp, cảnh báo mà lại chỉ gửi mail để thông báo cả. Nhất là khi chưa có phản hồi của “nạn nhân” đã vội vàng đưa thông tin ra công cộng ngay.​
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Re: Vụ hack VNPT: thủ phạm tấn công và các vấn đề liên quan

mình nghĩ có thể là họ có spy trong die group, PR thì chắc là có rồi bác. vụ này được lên các báo mạng nổi tiếng và SecurityDaily cũng nổi tiếng theo
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Vụ hack VNPT: thủ phạm tấn công và các vấn đề liên quan

Trẻ trâu vô đối :)
Còn SecurityDaily thì theo thông tin vỉa hè thì họ có spy trong Die Group :D
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Vụ hack VNPT: thủ phạm tấn công và các vấn đề liên quan

Chỉ nhìn theo góc sáng thì sao gọi là Conan được, KIT hỏi Conan động cơ công bố (xin lỗi đừng nhắc tới từ "tấn công nhé", chưa có gì gọi là tấn công cả) lỗ hổng là gì? Hiệu quả khi công bố như thế nào? Nếu không công bố thì sao?

Trong khi mọi ng đang nhìn ánh mắt xấu về DG thì thử hỏi nếu ko công bố (ở đây chỉ công bố cho securitydaily để họ gửi cảnh báo giúp http://securitydaily.net/lien-he/) thì hơn 50.000 khách hàng sẽ ra sao, quyền lợi họ không đảm bảo rồi. Còn cách cảnh báo của securitydaily quá phô trương hay sao đó là do họ.

Tôi thiết nghĩ nếu ở nước ngoài thì khách hàng đã kiện nhà cung cấp rồi, còn VN thì nhà cung cấp nhờ nhà chức năng tìm 1 đứa nào đó (cỡ như virus, hacker,.. để đổ thừa cho sự lơ là quản lý).

--p/s: KitHulk đại diện thành viên DG
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Vụ hack VNPT: thủ phạm tấn công và các vấn đề liên quan

Vậy ta cùng thử phân tích xem spy trong Group này là ai nhé:

- Ngày 10/3, SecurityDaily (giờ cứ gọi là SD cho tiện nhá, khó gõ quá) có đăng bài về DIE Group tấn công nhiều website tại VN, trong đó trích dẫn theo nguồn tin nhận được, và tin nhận được cùng từ nhóm kín DIE này. http://securitydaily.net/nhom-die-group-tan-cong-nhieu-website-cua-viet-nam/

149089319411.jpg

Ảnh từ SD

Nếu DIE Group là nạn nhân bị spy, thì từ 10/5 nhóm đã biết trong nhóm có spy man và sẽ xử lý spy man này hoặc ngừng hoạt động vì bị đánh động chứ không dại gì lại hack và tuyên bố tiếp như vậy.

- Quay trở lại hình ảnh mà SD công bố về vụ VNPT, cùng phân tích câu chữ của thông báo này, bạn sẽ thấy nội dung có gì đó "khác lạ". Chắc các bạn cũng đã từng là 1 thành viên của 1 nhóm nào đó, nếu mục đích muốn thông báo nội bộ cho các thành viên trong nhóm, có bao giờ bạn dùng từ "Công bố" như Admin của DIE Group đã nói không ? Ngoài ra Admin này cũng đã lường trước được việc rò rỉ rồi thì phải nên phải rào trước đón sau rất nhiều về trách nhiệm.

14908931941.jpg

Dựa trên 2 thông tin trên, tôi dự spy man của SD trong DIE Group chính là Admin của nhóm :cool:

Còn dự tôi đoán sai, thì manh mối SD có spy trong nhóm cũng rất tốt để lần ra nhóm, nhóm này có 14 người nên chắc cũng không có gì là khó.10.jpg

11.jpg

13.jpg
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Vụ hack VNPT: thủ phạm tấn công và các vấn đề liên quan

Toàn Những Gương Mặt Hacking & UG Tiêu Biểu!
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Vụ hack VNPT: thủ phạm tấn công và các vấn đề liên quan

Bạn Conan có vẻ thích thú với những G mới nổi này nhỉ !!!
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Vụ hack VNPT: thủ phạm tấn công và các vấn đề liên quan

kithulk;22501 đã viết:
Chỉ nhìn theo góc sáng thì sao gọi là Conan được, KIT hỏi Conan động cơ công bố (xin lỗi đừng nhắc tới từ "tấn công nhé", chưa có gì gọi là tấn công cả) lỗ hổng là gì? Hiệu quả khi công bố như thế nào? Nếu không công bố thì sao?
Hi KIT, may quá có thành viên DIE đây rồi, KIT cho Conan hỏi nếu không tấn công, lấy dữ liệu ra thì KIT lấy gì mà công bố ?
kithulk;22501 đã viết:
Trong khi mọi ng đang nhìn ánh mắt xấu về DG thì thử hỏi nếu ko công bố (ở đây chỉ công bố cho securitydaily để họ gửi cảnh báo giúp http://securitydaily.net/lien-he/) thì hơn 50.000 khách hàng sẽ ra sao, quyền lợi họ không đảm bảo rồi. Còn cách cảnh báo của securitydaily quá phô trương hay sao đó là do họ.
Vậy khi KIT và DG biết có lỗ hổng của VNPT, KIT và DG đã liên hệ như nào tới VNPT để cảnh báo, hay là gửi 1 cái mail vào ngày thứ 7 và mấy phút sau thì đưa thông tin cho SD để public ra ngoài ? Về nguyên tắc rủi ro, lỗ hổng của VNPT đã tồn tại lâu, muộn 1 - 2 ngày để KIT và DG liên hệ với VNPT cảnh báo họ thì cũng không vấn đề gì. Còn bây giờ DG đã đưa danh sách lên mạng, việc quản lý danh sách này không ai nói trước được, và giờ trách nhiệm thuộc về DG đấy.
kithulk;22501 đã viết:
Tôi thiết nghĩ nếu ở nước ngoài thì khách hàng đã kiện nhà cung cấp rồi, còn VN thì nhà cung cấp nhờ nhà chức năng tìm 1 đứa nào đó (cỡ như virus, hacker,.. để đổ thừa cho sự lơ là quản lý).
Tôi cũng ở nước ngoài nè KIT, tôi cũng thiết nghĩ nếu ở nước ngoài thì dựa trên những thông tin KIT và DG cung cấp và đã lộ có lẽ giờ này KIT không còn ngồi đây để comment đâu nhá.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Vụ hack VNPT: thủ phạm tấn công và các vấn đề liên quan

BachKyLan_CEH;22504 đã viết:
Bạn Conan có vẻ thích thú với những G mới nổi này nhỉ !!!
Nổi thì tốt bạn ạ, nhưng mình cực ghét trẻ trâu.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Vụ hack VNPT: thủ phạm tấn công và các vấn đề liên quan

p/s Conan:
1/ Danh sách tk chưa đc công bố công khai trên mạng, chỉ nội bộ DG
2/ Lỗ hổng đã lâu + cảnh báo ko fix --> thiếu trách nhiệm
3/ Như cách bạn đang khai thác thông tin về DG có gọi là "tấn công thông tin cá nhân" không nhỉ
4/ Cách cảnh báo của DG không mang tính chất "phá hoại"
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Vụ hack VNPT: thủ phạm tấn công và các vấn đề liên quan

Một số lời về Diegroups
Như về vụ VNPT mình xin có 1 vài lời cho danh sách mem đã pub trước .
như vài viết ai cũng biết admin DG là JCAx
Member
- Hoàng Phúc.
- Hiếu Phạm
- Kit Hero
- Sasuke Hero
- Dimitri Putin Jr.
- Dương Đoàn
- Duy Skye Lê
thì có các mem
-
Sasuke Hero
- Hiếu Phạm
- dimitri putin jr
là member của VHS vào DG nội bộ ( không hề tham gia tấn công )
- member chính xác của DG là
-
Kim Liên , Nguyễn Jerry, Ben Khùm ,Ác Quỷ, Tiến Kira ,ngọc luân , Lê Thanh Truyền... còn nữa
Hiện nay nick Hoang Phúc thì không còn nhưng Ngọc Luân là admin DG ( Tức là JCAx )
link facebook
http://facebook.com/admindiegroup
về 1 số thông tin về DG đã Deface , Ddos các site
Các site hầu hết được úp bằng shell EHG với pass là : jcalexminadminofdiegroup
Một số ảnh khi VHS check DieGroups

149089319411043065_1541467352785580_4367122199041121213_n.jpg


14908931941.jpg


1490893194Untitled.jpg


và mình đính chính lại 2 mem sasuke . Hiếu Phạm . Dimitri putin jr là nội bộ không tham gia tấn công11043065_1541467352785580_4367122199041121213_n.jpg

1.jpg

Untitled.jpg
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Vụ hack VNPT: thủ phạm tấn công và các vấn đề liên quan

Hi KIT, tôi phân tích một số điểm tiếp nhé:
kithulk;22510 đã viết:
1/ Danh sách tk chưa đc công bố công khai trên mạng, chỉ nội bộ DG
kithulk;22510 đã viết:
Trong khi mọi ng đang nhìn ánh mắt xấu về DG thì thử hỏi nếu ko công bố (ở đây chỉ công bố cho securitydaily để họ gửi cảnh báo giúp http://securitydaily.net/lien-he/)
2 phát biểu của rất mâu thuẫn nhau, trừ khi bạn thừa nhận SD cũng là thành viên nội bộ của DG và toàn bộ vụ việc này là 1 vở kịch ?
kithulk;22510 đã viết:
2/ Lỗ hổng đã lâu + cảnh báo ko fix --> thiếu trách nhiệm
Ok, mời bạn cung cấp thông tin bạn cảnh báo khi nào, tới đâu mà VNPT không fix ? mà thực lòng bạn cũng tự xem mình có muốn cảnh báo tới VNPT không - câu này bạn có thể không cần trả lời mà tự vấn trong lòng là được.Ngoài ra, VNPT thiếu trách nhiệm bạn có thể gửi tới VNCERT để điều phối cảnh báo cơ mà ?
kithulk;22510 đã viết:
3/ Như cách bạn đang khai thác thông tin về DG có gọi là "tấn công thông tin cá nhân" không nhỉ
Tất cả thông tin của tôi đều Google ra hết, như vậy nếu gọi là tấn công thị tôi xin "ạ" bạn
kithulk;22510 đã viết:
4/ Cách cảnh báo của DG không mang tính chất "phá hoại"
Vâng, kết quả không mang tính phá hoại của bạn đây:http://www.thanhnien.com.vn/cong-ng...an-rac-tu-viec-lay-tai-khoan-vnpt-541635.html
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Vụ hack VNPT: thủ phạm tấn công và các vấn đề liên quan

kithulk;22510 đã viết:
p/s Conan:
4/ Cách cảnh báo của DG không mang tính chất "phá hoại"
Bạn nói hay thật đấy. post hẳn lên website cho người ta down load về, với những thông tin trong đó người ta làm được nhiều thứ như : bán cho bên thứ 3 cần thông tin khách hàng, gửi thư rác, lừa đảo chiếm đoạt tài sản .....
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Vụ hack VNPT: thủ phạm tấn công và các vấn đề liên quan

VNPT thiếu trách nhiệm bạn có thể gửi tới VNCERT để điều phối cảnh báo cơ mà ?
Nói giọng điệu chẳng khác bạn cũng là người thuộc cơ quan chức năng. Nếu thực sự bạn là ng cơ quan nhà nước thì đề nghị làm việc cho có Tâm tí, đừng làm việc qua loa, thiếu trách nhiệm.... kiểu như vnpt trên

Tất cả thông tin của tôi đều Google ra hết, như vậy nếu gọi là tấn công thị tôi xin "ạ" bạn
Vậy thông tin DG bạn cứ moi thoải mái, cũng rảnh quay tay với google ý nhỉ.

Vâng, kết quả không mang tính phá hoại của bạn đây:http://www.thanhnien.com.vn/cong-ngh...pt-541635.html
đó là link chứa 10.000 ông Chiến cần để làm bài báo thuyết phục người đọc (đính chính đó chỉ là link nội bộ DG, phải có pass mới xem, còn có thêm 50.000 là do ổng tự tìm thêm, site vnpt lỗi sẵn rùi, trẻ trâu sqli cũng đc mà). Nếu ông Chiến làm việc đừng vì lợi ích cá nhân thì đã liên hệ và giúp DG cảnh báo vnpt rồi mới đăng bài, đằng này đăng bài trước rùi mới làm to chuyện cho ngta fix, ảnh hưởng lợi ích doanh nghiệp nên ngta mới làm lớn chuyện.

Nếu các bạn xem kỹ lại bài báo "Nhóm DIE Group công khai hơn 50.000 khách hàng của VNPT" lần đầu securitydaily đăng sẽ thấy sự cẩu thả thiếu tính chính xác. Lỗ hổng ở đây chỉ trên soctrang.vnpt.vn nhưng bài báo lại ôm cả VNPT nên chắc ai đọc cũng nghĩ vnpt.vn bị lỗ hổng, khà khà.. (theo mình biết thì mỗi chi nhánh tự quản lý trang thông tin điện tử (gọi tắt là website) riêng.

Còn nhớ lại vụ năm trước "Samsung bị hack http://securitydaily.net/samsung-bi-hack-boi-hacker-viet-nam-nguoi-dung-can-thay-doi-mat-khau-ngay/", ông Chiến cũng nhận mail từ hacker rùi đăng như cắt lên, không thèm chờ sự xác nhận từ phía samsung. Rút cuộc samsung họ cũng im lặng luôn nên mọi chuyện lắng xuống nên không biết thực hư ra sao.

p/s Conan nên quay tay thêm cái thông tin về securitydaily nhé, trong truyện COnan thì conan cần KID 1417 nhắc, còn Conan này thì phải chờ KIT nhắc đây

p/s: Xin nói rõ hơn là hiện tại danh sách tài khoản vnpt chưa bị lộ ra khỏi DG, trừ khi site có ai khác vào khai thác thì tôi không chịu trách nhiệm (ngay Conan cũng nói là site lỗi lâu mà, mà lỗi sqli thì trẻ trâu như cháu chắt Conan còn lấy được dữ liệu)
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Vụ hack VNPT: thủ phạm tấn công và các vấn đề liên quan

Hiện tại nhóm DG trên Facebook đã xoá , trong vụ nay , chi co ngoc luan vao them gia attack , cac mem khac ko co phai chiu trach nghiem , minh cung la mem cua vhs giong may ban kia , rat tiec trc luc tan cong minh da bi kick :3
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên