Như ICTnews đã đưa tin, chiều nay, hệ thống điều khiển tại Cảng hàng không quốc gia gần như mất kiểm soát. Sự cố xảy ra vào chiều nay 29/7 khi thông tin sai trái hiển thị ở hầu hết các quầy thủ tục và lan sang hệ thống phát thanh. Cùng lúc, website của hãng Hãng hàng không quốc gia Việt Nam (Vietnam Airlines) tại địa chỉ www.vietnamairlines.com cũng gặp sự cố không truy cập được.

Theo những thông tin ban đầu, cuộc tấn công được cho là của nhóm hacker Trung Quốc mang tên 1937CN. Sau khi chiếm quyền điều khiển website của Hãng Hàng không quốc gia Việt Nam, hacker Trung Quốc đưa những nội dung liên quan vấn đề chủ quyền và Biển Đông.

Nhận định sơ bộ về vụ việc, ông Ngô Việt Khôi, chuyên gia an ninh mạng cho ICTnews hay vụ việc xảy ra chiều nay là hai cuộc tấn công riêng. Theo ông Khôi, vụ tấn công này là điển hình của tấn công APT (tấn công có chủ đích - PV) và nhắm vào hai hệ thống khác nhau. Cuộc tấn công vào hệ thống điều khiển tại sân bay (bảng điều khiển, hệ thống âm thanh) chính xác là hệ thống của Cảng vụ hàng không Miền Bắc. Còn vụ tấn công trang web của Vietnam Airlines lại là một vụ riêng biệt. Mặc dù hai hệ thống này có thể liên thông, nhưng hoàn toàn là hai hệ thống khác nhau.

Tuy nhiên, theo ông Khôi: “Việc tấn công chiếm quyền điều khiển như đã thấy chưa phải mức độ đáng ngại nhất”. Theo phân tích của vị chuyên gia này, mạng ở Cảng vụ hàng không miền Bắc đã bị xâm nhập và chiếm quyền điều khiển. Khi hacker làm được điều này là họ đã có thể cài mã độc kết nối với server điều khiển bên ngoài (C&C server), sửa đổi trang web, phát file âm thanh... cái đáng ngại hơn thế là sự rò rỉ, mất thông tin đã âm thầm diễn ra trong thời gian trước đó. Hoặc từ Server/máy tính bị tấn công, mã độc có thể lan truyền sang các sever khác có kết nối với máy đó (trong và ngoài hệ thống VNA) và tạo râ các nạn nhân mới. Điều này mới thật sự đáng ngại. việc thể hiện nội dung phản đối lên màn hình vẫn còn là cấp độ đơn giản nhất.

Ông Khôi cũng cho biết chưa thể kết luận về mức độ nguy hiểm của cuộc tấn công này và nhóm hacker đang có những hoạt động gì đáng ngờ trong hai hệ thống mạng này. “Hiện chúng ta chỉ có thể nói, vì hacker đã chiếm được quyền điều khiển nên các Sever, các máy tính đã có những backdoor đang bị lợi dụng; đã có mã độc nằm trong những máy tính đó, chịu sự điều khiển từ các sever từ bên ngoài. “Để biết được thực sự sự cố này nghiêm trọng đến thế nào? “tảng băng” thực sự sâu đến đâu thì không phải dựa trên mấy hiện tượng có thể kết luận được. Các chuyên gia sẽ phải sử dụng các biện pháp dò quét, phát hiện và phân tích hiểm họa từ các lớp mạng thấp, khi đó mới có thể phát hiện được trong những hoạt động đáng ngờ trong các hệ thống bị tấn công”.