Kính chào quý khách,
Sự cố này có thời gian tấn công rất dài và có chủ ý: Từ 01/06/2012 đến 28/06/2012 ( Chúng tôi đã có gửi 01 Email vào ngày 19/06/2012 thông báo với khách hàng)
Qua một thời gian dài theo dõi và tiến hành lưu log tại 03 server: sv7154, sv7209, sv7219 trong thời gian từ 20/06/2012 - 28/06/2012, chúng tôi đã phát hiện và tiến hành tra soát IP xuất xứ của các cuộc tấn công. Và một điều đáng buồn là chúng tôi đã phát hiện ít nhất 02 IP thuộc quyền quản lý của Công ty TNHH Máy Chủ Việt (VietHosting) do Ông Nguyễn Thành Tâm làm Giám Đốc, và đơn vị sử dụng là Công Ty TNHH MTV Giải Pháp Mạng Việt Tin (GiaiPhapHost) do Ông Võ Quang Duy làm Giám Đốc .
Những IP thực hiện việc tấn công vào hệ thống máy chủ của PowerNet:
- 112.78.8.250
- 112.78.8.243
- .....
- IP Server nước ngoài khác được cho là cùng đợt với sự việc tấn công này vì bản thân Mr. Duy là một "hacker" có tham gia các diễn đàn Hacker trong nước.
Vụ tấn công một cách có chủ ý vào rất nhiều site trên server ( thông thường nếu là thù hằn cá nhân thì sau khi site bị tạm khóa thì người tấn công cá nhân sẽ không tấn công nữa, đằng này tấn công tiếp tục một site khác). Tuy PowerNet đã hạn chế tối đa sự cố tuy nhiên việc tấn công này vẫn gây mất kết nối và gián đoạn dịch vụ thường xuyên ( Trung bình từ 5 đến 1h), thời gian từ 01/06/2012 đến 28/06/2012. Vấn đề DDOS này đã thường xuyên xảy ra với nhiều server và cả website powernet.vn.
Hậu quả của Công Ty TNHH PowerNet tính đến thời điểm này:
- Một lượng lớn khách hàng than phiền, chuyển nhà cung cấp khác vì lý do server time out.
- 02 máy chủ bị có lỗi hư hỏng nghiêm trọng (Đã liên hệ với Công ty cung cấp máy chủ báo hỏng - Công Ty Nhất Tiến Chung).
- Mất uy tín Công ty TNHH Power Network, Power Hosting chỉ cam kết hạn chế 30% DDOS, tăng 30% bảo mật chứ không cam kết tuyệt đối. Tuy nhiên nếu thời gian tấn công lâu dài và có chủ ý như thế này thì uy tín công ty giảm sút và gây khó chịu cho khách hàng sử dụng dịch vụ.
Chi tiết quá trình làm việc:
11h21 (27/06/2012): Theo điều tra ban đầu là IP thuộc quản lý của Công ty TNHH Máy Chủ Việt, Đã xác nhận IP với Mr. Tâm, đã gửi Mail với Mr. Tâm, Đã liên hệ VDC 3, Đã liên hệ Phòng điều tra Công An Đà Nẵng.
11h50 (27/06/2012) : Ban An toàn thông tin VDC 3 đã liên hệ và sẽ hỗ trợ các vấn đề lưu log của tất cả các server bị tấn công trong nhiều ngày nay.
12h20 (27/06/2012) : Đã liên hệ với Cục Cảnh sát phòng, chống tội phạm sử dụng công nghệ cao thông báo sự việc và nhờ tư vấn. C50 đã yêu cầu gửi tất cả các bằng chứng về chi nhánh phía Nam ( Nơi 02 công ty liên quan hoạt động).
Địa chỉ: 258 Nguyễn Trãi, Q I – TP. Hồ Chí Minh
Số điện thoại: 06937125
12h45 (27/06/2012) : Mr. Duy bên GiaiPhapHost đã liên hệ, Phối hợp điều tra trong ngày hôm nay
13h00 (27/06/2012) : Mr. Duy liên hệ yêu cầu gỡ thông tin cá nhân ra bài viết này, Đồng thời đại diện GiaiPhapHost phối hợp điều tra. ( đã gỡ thông tin cá nhân của Mr. Duy)
14h08 (27/06/2012) : Liên hệ với GiaiPhapHost bằng Email, hiện tại giải quyết trong nội bộ 2 công ty trước theo yêu cầu của GiaiPhapHost. Nếu giải quyết vẫn không thỏa đáng, PowerNet sẽ cung cấp chứng cứ, log cho cơ quan điều tra để tiến hành xử lý theo phương diện Pháp luật, một việc không mong muốn cho cả PowerNet và GiaiPhapHost và các bên liên quan.
14h11 (27/06/2012) : GiaiPhapHost xác nhận đã nhận được Email.
14h45 (27/06/2012) : Ban an toàn thông tin VDC 3 đã liên hệ yêu cầu cung cấp các server bị tấn công và các IP tấn công để kiểm tra log hệ thống.
16h04 (27/06/2012) : GiaiPhapHost đã liên hệ để hợp tác giải quyết vụ việc này. Vụ việc này sẽ giải quyết trong ngày hôm nay theo như lời hứa của Mr. Duy - Giám đốc GiaiPhapHost.
20h16 (27/06/2012) : Vẫn chưa có câu trả lời từ GiaiPhapHost. Thời gian làm việc của bộ phận kỹ thuật của PowerNet là đến 21h cùng ngày vẫn không nhận được trả lời.
07h30 (28/06/2012) : Nhận được trả lời từ GiaiPhapHost, Tuy nhiên vì trả lời có những điểm không thực tế, và lấy rất nhiều lý do nhằm mục đích đổ lỗi tấn công này cho một khách hàng khác, không đưa ra được kết luận và trả lời cụ thể, đồng thời trong quá trình thảo luận về vấn đề đền bù luôn yêu cầu PowerNet phải thống kê những thiệt hại một cách cụ thể, trong khi thiệt hại của PowerNet có 02 điều là thiệt hại về uy tín và khách hàng. Giá trị đó không thể cân, đo, đong, đếm được.
Trong suốt ngày 28/06/2012 : Hai bên không có thống nhất về đền bù thiệt hại, vì thế việc thảo luận nội bộ đã không thành công.
Trong khoảng thời gian 28/06/2012 - Hiện tại: GiaiPhapHost do Mr. Duy làm chủ đã không có một động thái tích cực hợp tác giải quyết sự cố. Thời gian thương lượng và chờ đợi GiaiPhapHost giải quyết hậu quả đã không còn. Trong suốt thời gian đó, vẫn có 1 lượng lớn IP liên tục tấn công gây gián đoạn hệ thống. Đây là một sự tấn công trắng trợn và vi phạm nghiệm trọng đạo đức kinh doanh.
Phân tích từ PowerNet Co., Ltd
- Chúng tôi đánh giá đây là một cuộc tấn công có chủ ý, cạnh tranh không lành mạnh. Theo điều 224,225,226 Bộ Luật Hình Sự thì đây là cuộc tấn công có chủ ý và có tổ chức vào hệ thống máy chủ của PowerNet.
- Công ty TNHH PowerNet sẽ đi đến cùng vụ việc này. Tuy nhiên có một sai lầm khi trao thời gian quá dài cho GiaiPhapHost, Mr. Duy như đã nói là 1 "hacker", có đủ trình độ và kiến thức để xóa các dấu vết trong thời gian 12h đồng hồ và tạo ra bằng chứng giả, khách hàng giả báo cáo lại cho PowerNet
- Chúng tôi đã làm việc với GiaiPhapHost với tinh thần hợp tác, tuy nhiên đáp lại sự chân thành và hợp tác đó là sự khiêu khích, gắp lửa bỏ tay người, đầu tiên( ngày 27/06/2012- lúc phát hiện vụ việc) thì rất hợp tác, tuy nhiên khi đã có đủ thời gian thì yêu cầu chúng tôi cung cấp đủ thông tin, trong khi GiaiPhapHost nên nhớ rằng, Những thiệt hại đó có 02 thiệt hại không thể mang ra cân, đo, đong, đếm được.
- Chúng tôi đã cử một cộng tác viên đến tận địa chỉ Công Ty Việt Tin tại website nhưng đó chỉ là một địa chỉ không có thực. Những giá trị mà GiaiPhapHost gây dựng nên hoàn toàn không có thực.
- Chúng tôi chỉ thông báo để các khách hàng có thể hiểu rõ nguyên nhân dẫn tới server bị time out, đồng thời thể hiện mong muốn của PowerNet khi công bố tin tức này là tránh những sự việc tương tự xảy ra sau này.
Các bằng chứng, hình ảnh ( Sẽ cập nhật thêm):
Thông tin từ file log:
Thông tin IP2location:
Log gửi email của Mr. Tâm đến khách hàng ( Cc to Mr. Phát). Khách hàng đang sử dụng 02 IP: 112.78.8.250 và 112.78.8.243 là: quangduy2812@gmail.com
Thông tin tại diễn đàn tinhte.vn
Thông tin từ Diễn đàn VNW, từ một bạn tại SVIT có nickname tại đó cung cấp thông tin về user: alexholl
Từ những hình ảnh này, ta có thể thấy đây có thể là nguồn Proxy mà Mr. Duy đã sử dụng tấn công hệ thống máy chủ PowerNet.
Hình ảnh và bài viết từ một cộng tác viên khác cung cấp: http://freecode.vn/for@um/showthread.php?113631
Chúng tôi sẽ liên tục cập nhật các thông tin tại bài viết này, chúng tôi không khoan nhượng với các vụ việc tương tự xảy ra, không khoan nhượng với GiaiPhapHost trong việc im lặng trước những thiệt hại mà GiaiPhapHost (do Mr. Duy làm giám đốc) đã gây ra.
Bài viết này chỉ nêu một thủ phạm chính đã tấn công hệ thống server PowerNet, còn những thủ phạm khác, chúng tôi sẽ có thông báo ở những bài viết sau.
Trân trọng!
Thursday, July 19, 2012