Ngày 25/8/2016, Sở TT&TT TP.HCM đã ra thông báo số 1118 về tình hình đảm bảo an toàn thông tin trên địa bàn thành phố.

Theo đó, hệ thống đảm bảo an toàn thông tin của thành phố đã phát hiện và cảnh báo về thực trạng có nhiều địa chỉ IP lạ tấn công hệ thống tại các đơn vị. Về mức độ ảnh hưởng, các máy trạm bị nhiễm mã độc trở thành Botnet, trao đổi dữ liệu với bên ngoài.

Cụ thể, hệ thống đã thu thập được dữ liệu, các hành vi trao đổi của các máy trạm từ mạng trong ra mạng ngoài với các địa chỉ IP, Domain như sau: 95.213.186.51; 95.216.192.71; 163.172.32.234; 176.9.48.86; 176.9.174.220; http://atomictrivia.ru/atomic.php; http://differentia.ru/diff.php; http://disorderstatus.ru/order.php;  http://gvaq70s7he.ru.

Theo ghi nhận, các máy trạm khi bị nhiễm mã độc sẽ định kỳ nhận các yêu cầu từ các máy chủ C&C và phản hồi lại các yêu cầu từ máy chủ C&C thông qua 4 địa chỉ URL như trên. Trong quá trình truy vế đã phát hiện các máy trạm bị nhiễm mã độc thực hiện trao đổi thông tin qua giao thức http (cổng 80).

Loại mã độc các máy trạm bị nhiễm thuộc loại Garmarue. Các hành vi của Gamarue như sau: đánh cáp thông tin nhạy cảm (thông tin hệ điều hành, địa chỉ IP cục bộ, số thứ tự của ổ đĩa gốc, tài khoản đặc quyền như quyền quản trị.

Thông tin bị đánh cắp gửi về cho máy chủ C&C, sau đó đợi các mệnh lệnh tiếp theo. Tùy thuộc vào các câu lệnh nhận được, hacker có thể làm những việc khác nhau để kiểm soát máy tính bị lây nhiễm.

Trên hệ thống giám sát an toàn thông tin phát hiện máy chủ 163.172.32.234 thực hiện tấn công thông  qua giao thức TCP với các cổng thực hiện tấn công: 50099, 50098, 49876, 2157, 80...; ứng dụng thực hiện khai thác là tập tin MSIEXEC.

Trong đó, Msiexec.exe là một tập tin DLL với mô tả Windows installer, kích thước 73216 bytes, vị trí winsxs\x86_microsoft-windows-installerexecutable 31bf3856ad364e35 6.1.7600.16385 none 4957caefe76d7816\\, được cập nhật lần cuối vào ngày 7/13/2009 4:31:52 PM, mã lỗi 0x0284(The specified range could not be found in the range list.), phiên bản 5.0.7600.16385, registry key, và Hassie Slocum nhiễm virus là Backdoor:Win32/Delf.KA.

Đáng chú ý, virus Backdoor Win32/Delf.KA và Marian Marquardt thay đổi bốn khóa registry trong máy tính: IIKEY CLASSES ROOT\ShockwaveFlash.ShockwaveFlas h.8\CLSID;  HKEY LOCAL MACHINE\SOFTWARE\Microsoft\Windows \ CurrentVersion\ SideBySide \ Winners \ 86_prng; HKEY CLASSES ROOT\ Interface\ {B9OEFAA6-25E4-33D2-ACA3-94BF74DC4AB9}\ProxyStubC1sid; HKEY LOCAL MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SideBySide\Winners\x86_micr

Sở TT&TT TP.HCM nhấn mạnh, theo cảnh báo của Virustotal, đây là dạng mã độc mới cho đến thời điểm hiện tại có 6 đơn vị phát hiện và có bản cập nhật.

Trước thực tế trên, Sở TT&TT TP.HCM cảnh báo: đối với các hệ thống tại Trung tâm dữ liệu thành phố, Trung tâm CNTT-TT phối hợp với QTSC thực hiện chính sách cấm truy cập đến các địa chỉ IP và tên miền chứa mã độc đã nêu trên.

Đối với hệ thống CNTT tại đơn vị, các đơn vị chủ động triển khai chính sách trên hệ thống tường lửa cấm truy cập các địa chỉ IP và tên miền độc hại đã nêu.

Hiện Trung tâm CNTT-TT cũng đã triển khai chính sách an toàn thông tin từ máu chủ Symantec đến các máy trạm tại đơn vị đã triển khai Symantec (ngăn chặn mã MD5:e1 d499c501dc2e1f8b451f1 a43bfabed và SHAl: 32b219753cfe2ceel3a5c6cdfa4398a571462305).

Đối với các đơn vị triển khai phần mềm phòng chống mã độc riêng, đề nghị triển khai chính sách ngăn chặn mã D5: eld499c501dc2e1f8b451fla43bfabed và SHAl: 32b219753cfe2cee13a5c6cdfa4398a571462305 trên phần mềm phòng chống mã độc của đơn vị.