Hôm nay, ngày 22/6/2016, Công ty Bkav đã công bố kết quả tìm hiểu và kiểm tra thực tế thông tin các máy chủ Remote Desktop Protocol (RDP) tại Việt Nam bị rao bán trên thị trường chợ đen xDedic.

Bkav cho biết, kết quả kiểm tra của đơn vị này cho thấy, có tới 153 máy chủ vẫn đang mở cổng 3389 (RDP), trong đó có 51 máy chủ mở cả cổng 3389 (RDP) và 80 (HTTP). “Những máy chủ này có nguy cơ bị khai thác, chiếm quyền điều khiển và bị lợi dụng cho những mục đích xấu”, Bkav nhận định.

Chuyên gia Bkav khuyến cáo các quản trị viên, đối với những Server có thể truy cập từ IP public, các quản trị viên cần kiểm tra lại xem danh sách những IP đăng nhập có IP nào khả nghi hay không được phép hay không. Trong trường hợp kiểm tra thấy có IP lạ truy cập, việc đầu tiên quản trị viên cần làm là kiểm tra log, rà soát lại toàn bộ Server xem có gì bất thường không, sau đó đổi pass truy cập. Tiếp đó, quản trị viên cần thiết lập lại chính sách đăng nhập chặt chẽ hơn với những Server bắt buộc truy cập từ IP Public.

Đối với những Server không cần truy cập từ IP public, quản trị viên nên đóng cổng Remote Desktop (3389) hoặc chặn truy cập từ bên ngoài với những cổng không cần thiết. Thao tác này nhằm đảm bảo tính an ninh và hạn chế khả năng lợi dụng của những kẻ tấn công.

Đại diện Bkav cũng cho biết thêm hiện doanh nghiệp này đã gửi tới Cục An toàn thông tin thuộc Bộ TT&TT thông tin về kết quả tìm hiểu và kiểm tra trên thực tế thông tin các máy chủ Remote Desktop Protocol (RDP) tại Việt Nam bị rao bán trên thị trường chợ đen xDedic để Cục An toàn thông tin điều phối xử lý cũng như hỗ trợ các cơ quan, đơn vị. 

Hiện Bkav đang xây dựng công cụ để có thể sớm hỗ trợ các quản trị viên có thể tự kiểm tra máy chủ của cơ quan, đơn vị mình có đang nằm trong "vòng nguy hiểm" hay không. 

Trước đó, như ICTnews đã đưa tin ngày 16/6/2016, một nhà cung cấp dịch vụ Internet ở châu Âu (ISP) đã cảnh báo Kaspersky Lab về sự tồn tại của xDedic, một chợ đen chuyên bán các dữ liệu bị hack từ máy chủ, và hãng bảo mật này đã làm việc với nhà cung cấp trên để điều tra cách diễn đàn hoạt động. Theo đó, hiện có tới 70.624 máy chủ Remote Desktop Protocol (RDP) bị rao bán trên thị trường chợ đen xDedic và giá chỉ 6 USD cho mỗi quyền truy cập, trong đó có 841 máy chủ ở Việt Nam.

Cụ thể, các hacker đã đột nhập vào máy chủ, thường là thông qua các cuộc tấn công brute-force, và mang về các thông tin cho xDedic. Các máy chủ bị hack sau đó được kiểm tra cấu hình RDP, bộ nhớ, phần mềm, lịch sử duyệt web và nhiều hơn nữa - tất cả các tính năng mà khách hàng có thể tìm kiếm trước khi mua hàng. Sau đó chúng được thêm vào một danh mục trực tuyến bao gồm quyền truy cập vào: Máy chủ thuộc mạng lưới chính phủ, tập đoàn và trường đại học; Máy chủ được gắn thẻ để có quyền truy cập hoặc lưu trữ các trang web và dịch vụ nhất định, bao gồm chơi game, cá cược, hẹn hò, mua sắm trực tuyến, ngân hàng và thanh toán trực tuyến, mạng điện thoại di động, ISP và trình duyệt; Máy chủ với phần mềm được cài đặt sẵn có thể tạo điều kiện cho việc tấn công diễn ra, bao gồm phần mềm mail trực tiếp, tài chính và PoS. Tất cả đều được một loạt các công cụ dùng để hack và lấy thông tin hệ thống hỗ trợ.

Và chỉ cần từ 6 USD cho mỗi máy chủ, thành viên diễn đàn xDedic đã có thể truy cập vào tất cả dữ liệu của một máy chủ và sử dụng chúng như nền tảng để tấn công về sau, có thể bao gồm tấn công có chủ đích, phần mềm độc hại, DDoS, lừa đảo bằng email, tấn công bằng kỹ thuật xã hội và adware.

Chủ nhân của các máy chủ bị hack không biết rằng hệ thống CNTT của mình đã bị tấn công, đặc biệt, những kẻ tấn công có thể truy cập vào máy chủ dự phòng để lấy thông tin đem rao bán và toàn bộ quá trình có thể lặp lại một lần nữa.

Thị trường xDedic này hoạt động từ năm 2014, đến tháng 5/2016 đã có 70.642 máy chủ từ 173 quốc gia được rao bán. Kasperky đã đưa ra một bản đồ về số lượng máy chủ ở các quốc gia bị hack và Việt Nam có 841 nạn nhân. Top 10 quốc gia bị ảnh hưởng gồm có: Brazil, Trung Quốc, Nga, Ấn Độ, Tây Ban Nha, Ý, Pháp, Úc, Nam Phi và Malaysia.