Khi phân tích một số mẫu mã độc sau vụ tấn công hệ thống của Vietnam Airlines, VNCERT đã phát hiện một số dấu hiệu tấn công các website Việt Nam. Đơn vị này đề nghị các cấp liên quan khẩn cấp chặn kết nối đến ba địa chỉ: playball.ddns.info, nvedia.ddns.info, air.dcsvn.org.
Bên cạnh đó, họ còn yêu cầu rà quét hệ thống, xoá bốn thư mục và tập tin mã độc cụ thể (xem chi tiết). Theo đánh giá của VNCERT, các mã độc trên thuộc diện đặc biệt nguy hiểm, có thể đánh cắp thông tin và phá hủy hệ thống. Đáng chú ý, mã độc này chưa hoạt động mà ở chế độ "nằm vùng".
Trước đó, khoảng 16h ngày 29/7, tại sân bay Nội Bài, Tân Sơn Nhất, nhiều hành khách đang làm thủ tục hốt hoảng khi thấy các màn hình thông tin chuyến bay bất ngờ thay đổi. Trên màn hình hiển thị các thông tin kích động, xúc phạm Việt Nam và Philippines, xuyên tạc các nội dung về Biển Đông. Hệ thống phát thanh của sân bay cũng phát đi những thông điệp tương tự. Sau khoảng 4 phút, nhà chức trách sân bay đã tắt toàn bộ hệ thống âm thanh, màn hình.
Cùng thời điểm, trên website của hãng hàng không Việt Nam cũng bị thay đổi nội dung, đồng thời đăng tải thông tin của hơn 400.000 thành viên Golden Lotus. Người dùng khi truy cập vào địa chỉ https://www.vietnamairlines.com, nhận được thông báo website đã bị hack, nội dung trang chủ được thay đổi hoàn toàn với các ngôn ngữ kích động.
Theo Hiệp hội An toàn thông tin Việt Nam (VNISA), cuộc tấn công vào hệ thống của hãng Hàng không Quốc gia là dạng tấn công có chủ đích, được chuẩn bị kỹ lưỡng, kéo dài trước khi bùng phát vào ngày 29/7. Có dấu hiệu cho thấy có thể hệ thống đã bị tin tặc xâm nhập từ giữa năm 2014. Tuy nhiên, mã độc sử dụng trong đợt vừa rồi hoàn toàn mới, được thiết kế riêng cho cuộc tấn công ngày 29/7 và đã vượt qua được các công cụ giám sát an ninh thông thường.
Theo VNISA, dựa theo những dấu vết để lại hiện trường có thể khẳng định những kẻ tấn công am hiểu hệ thống công nghệ thông tin của các cụm cảng hàng không, cả ở mức cấu trúc thông tin lẫn cơ chế vận hành thiết bị. Đáng chú ý, chúng có ý định khống chế, vô hiệu hóa hoàn toàn dữ liệu hệ thống. Bước đầu, đội ngũ an ninh mạng từ nhiều đơn vị đã xác định được mã độc phá hoại hệ thống và thấy rằng cửa hậu đã bị khai thác khá lâu trước thời điểm phát động tấn công.
Đánh giá về sự cố vừa qua, một chuyên gia bảo mật cho rằng đây là vụ tấn công nghiêm trọng, bao gồm ba cuộc tấn công độc lập đến tên miền, dữ liệu khách hàng của Vietnam Airlines và hệ thống thông tin sân bay. "Đó là hệ thống rất phức tạp nên có thể thấy tin tặc đã chuẩn bị kỹ lưỡng, chuyên nghiệp trước khi bùng phát", vị này nhấn mạnh.
Lý giải nhận định hệ thống Vietnam Airlines có thể bị xâm nhập từ 2014 mà không bị phần mềm diệt virus phát hiện, chuyên gia bảo mật cho rằng đó cũng là điều bình thường.
"Thứ nhất, trước khi hacker quyết định gửi đi mã độc thì thường họ sẽ thử trên các phần mềm diệt virus xem có bị phát hiện không. Chẳng mấy ai phát tán khi mà ngay từ đầu đã bị các chương trình diệt virus chặn. Thứ hai, bên cạnh mẫu nhận diện thì phần mềm diệt virus phát hiện qua hành vi bất thường. Có thể mã độc xâm nhập vào hệ thống từ năm 2014 nhưng nó 'nằm vùng' đến khi nhận được lệnh thì mới tấn công, bởi vậy chương trình diệt virus khó nhận dạng được từ sớm", ông nói.
Về phía Vietnam Airlines, khi đánh giá về đợt tấn công của tin tặc ngày 29/7, ông Nguyễn Hải Tùng, Trưởng ban Công nghệ thông tin của hãng đã cho hay, các đối tác công nghệ thông tin của Vietnam Airlines đã phát hiện dấu hiệu nghi ngờ tin tặc xâm nhập từ tối 28/7 và đưa ra cảnh báo đợt virus này có khả năng bùng nổ trên diện rộng. Hãng Hàng không Quốc gia ngay sau đó đã có một số biện pháp ứng phó, ngăn chặn virus phát tán.
Vietnam Airlines thông báo hệ thống công nghệ thông tin chính của họ đã hoàn tất quá trình kiểm tra và trở lại hoạt động. Hãng đã phối hợp với các chuyên gia của Cục An ninh mạng (Bộ Công an), Cục an toàn thông tin, Trung tâm ứng cứu khẩn cấp máy tính Việt Nam VNCERT, Viettel, FPT và các đối tác khác để giành quyền kiểm soát, khôi phục và khởi động lại các chương trình bị tấn công cũng như rà soát chương trình khác để đảm bảo an toàn. Hãng bay đã phối hợp với Tổng công ty Cảng hàng không Việt Nam khôi phục các máy tính tại quầy làm thủ tục ở Nội Bài, Tân Sơn Nhất.
Đối với khách hàng chương trình Bông Sen Vàng, Vietnam Airlines thông báo sẽ tạm ngừng các chức năng trực tuyến, tuy nhiên vẫn đảm bảo đầy đủ quyền lợi của hội viên.
