Phóng sự điều tra - Kì án game hack

Tình tiết dựa trên một câu chuyện có thật, tuy nhiên tên nhân vật đã được thay đổi, một số chi tiết được hư cấu để thêm phần li kì.

Năm 2020, đại dịch Covid bùng nổ, lan rộng khắp toàn cầu, hàng trăm ngàn người đã chết. Ngày 1/4, chính quyền VN ban bố lệnh phong tỏa, nội bất xuất, ngoại bất nhập.

Cùng ngày, Công ty ABC Software đưa ra quyết định, toàn bộ nhân viên được Work From Home (WFH) nói tiếng việt là LON (Làm Ở Nhà). Mọi nhân viên nếu không có việc cần kíp lên công ty thì cho LON hết, mục đích là đàm bảo cách ly xã hội.

Một buổi chiều ngày 31/3, một Nhân viên với khuôn mặt lầm lỳ, đang ngồi lẵng lẽ trước màn hình laptop. 

Vậy là mình LON đã 3 tuần rồi, chán vler, thư giãn tí cho đỡ căng thẳng.

…

Vài hôm sau, bỗng một email gửi đến từ khách hàng vào lúc 11h đêm

Máy tính của anh A đã bị bộ phận bảo mật bên khách hàng XXX phát hiện ra có khả năng bị nhiễm một số phần mềm độc hại nên không được truy cập vào hệ thống của khách hàng nữa. Yêu cầu bộ phận IT và bảo mật của công ty theo dõi kiểm tra và có biện pháp xử lý khắc phục

Lập tức, email được forward cho rất nhiều người có liên quan từ PM, Team Lead. IT security. Tiếng kêu gào vang lên, bà con gọi nhau qua điện thoại, messenger í ơi.

Cái méo gì thế này?? Dư lày là dư lào.

Lại security incident nữa à?

DCM, toang roài ông giáo ơi

Éo phải em làm sếp ơi, em nào biết em nào có hay

Sáng hôm sau, một cuộc họp khẩn cấp được diễn ra giữa các bên liên quan, anh giám đốc mặt đỏ như tôm luộc, song mục long lên sòng sọc, song chưởng vỗ xuống bàn đến rung chuyển tí nữa gãy đôi, khí kình phát ra từ hậu môn, nhầm khẩu môn như tiếng chuông đồng

Lập tức điều tra nguyên nhân cho tôi, xem xét hình thức kỉ luật thật nặng, vì ảnh hưởng đến hình ảnh của Công ty ABC, chúng ta có nguy cơ loss business

Các thanh niên nghe xong ai cũng lạnh xương sống, vội vàng vào cuộc điều tra, đội điều tra trọng án hết sức hùng hậu bao gồm

Cảnh sát phòng chống tội phạm sử dụng công nghệ cao C50 thuộc bộ công an

Công ty ABC Head of IT security department

Công ty ABC Head of ISM security

Bên khách hàng còn thuê đội Hacker Rank, Security ScoreBoard, BitSight tiến hành điều tra. Ngoài ra phía Công ty ABC còn có thêm 1 loạt đội hóng hớt, lót dép ngóng tin, nói theo cách Việt Nam là camera hàng xóm, chuyên đi soi mói, ngó nghiêng rồi chia sẻ, tam sao thất bản.

Chỉ trong vòng 1 ngày nhờ lực lượng camera này mà tin tức được lan truyền khắp nơi, hang cùng ngõ hẻm từ phòng vệ sinh nữ cho đến canteen. Ai nấy cũng bình luận bàn tán sôi nổi, miệng lưỡi thiên hạ đến là sợ, không khác gì mấy mẹ bán hàng online tung tin vịt về Covid lên Facebook để câu like, câu view

Dự án này là phát thứ ba rồi đó

Không biết có bị xử trảm không

Nghe nói thằng đó là hacker Anonymous cài vào Công ty ABC đó, đột nhập hệ thống khách hàng luôn

Hacker gì, gián điệp cộng sản Trung Quốc đưa vào đó…

Nghe nói thằng đó, trước làm lực lượng an ninh mạng của Bắc Triều Tiên đó, được anh Ủn đưa sang VN

Kinh vại

Trong thời kì Covid thì tình hình này khá căng thẳng và diễn biến phức tạp

2:00 AM rạng sáng ngày 3/4, một message gửi đến từ phía Security 3rd party kèm theo một số screenshot, và log

Lập lức các chuyên gia IT từ cao thủ đến thấp thủ ngồi châu đầu phân tích log 

DNS query to C&C site, pushlaram.com. 

Dek mịa, malware à, C&C site là méo gì thế, đù log cả thông tin user luôn

Chiếc laptop của user kia bị tịch thu trong vòng 1 nốt nhạc để làm tang chứng phục vụ điều tra dự án. Trong vòng 8h IT tiến hành scan toàn bộ laptop, kiểm tra phần mềm cài đặt, tìm cách tái hiện hiện trường vụ án. Anh user số siêu nhọ được đưa vào phòng thẩm vấn, questons trong vòng nhiều giờ, không biết có bị tra tấn ép cung không. Và vụ việc dần sáng tỏ.

Nếu ai làm việc trong ngành IT thì đều biết đến một khái niệm là VPN Virtual Private Network. Virtual Private Network (mạng riêng ảo), cho phép người dùng thiết lập mạng riêng ảo với một mạng khác trên Internet. VPN có thể được sử dụng để truy cập các trang web bị hạn chế truy cập về mặt vị trí địa lý, bảo vệ hoạt động duyệt web của bạn khỏi “sự tò mò” trên mạng Wifi công cộng bằng cách thiết lập mạng riêng ảo cho bạn.

VPN chuyển tiếp tất cả lưu lượng network traffic của bạn tới hệ thống – nơi có thể truy cập từ xa các tài nguyện mạng cục bộ.

Ở dự án XXX, nhân viên được cấp 1 account để có thể truy cập vào resources của KH thông qua VPN bên US. Toàn bộ traffic để đi qua VPN server, đồng nghĩa mọi thao tác của user đều bị server log lại hết. Tức là anh có vào thiendia hay xvideo cũng được lưu lại, những hành động trái phép như truy cập vào trang cấm đều bị log và cảnh báo tới quản trị hệ thống. 

Thông thường làm việc ở văn phòng dùng máy công ty có network riêng, cài đặt security đầy đủ thì an toàn. Tuy nhiên do tính hình Covid nên nhân viên phải làm ở nhà trên máy tính cá nhân, không thể control nên Công ty ABC yêu cầu nhân viên login vào VDI (Một dạng máy ảo của công ty để làm việc) để bảo mật. Rồi từ VDI đó mới kết nối VPN để access vào resource của khách hàng.

Lí thuyết là như vậy, nhưng khi hàng ngàn nhân viên WFH cùng 1 lúc thì hạ tầng bị quá tải, nghẽn mạng, chưa kể mấy hôm bị cá mập cắn cáp (Éo hiểu sao cứ mạng yếu là đổ tội cho mấy con cá) nên kết quả VDI chậm như rùa, bị disconnect liên tục. IT làm việc không xuể. 

Bất tiện quá thế nên VPN trực tiếp từ máy cá nhân cho nhanh. Thật ra trước khi có VDI bà con vẫn VPN suốt 2 năm rồi, không sao cả. Nhưng đời người ai học chữ ngờ, ngoài công việc IT ở công ty anh Nguyen Van A là một game thủ chuyên nghiệp. Trên máy tính của a cài đủ các game như Dota2, CS Go, game android đủ kiểu. Nghe nói một số game muốn chơi là phải mua nên xài bản crack cho nó rẻ.

Game này cài trên 1 Android simulator gọi là Nox Player, khi bật lên thì game send request connection tới know C&C server. Server đó được coi là command-and-control server. Đại loại là một máy tính bị nhiễm ransomware, được dùng để tạo nên một mạng Bot-Net dùng để tấn công DDos, trộm dữ liệu. Do xui xẻo khi game chơi khi VPN vẫn còn đang kết nối, khiến toàn bộ request để được log lại trên VPN server của khách hàng. Và thế là bùm.

Nói thì dài nhưng mọi việc điều tra được thực hiện trong thời gian rất ngắn chỉ trong vòng 12 tiếng đồng hồ. Và tiếp sau đó là report, báo cáo, giải trình, khóc than, kể khổ, dãi bày, quỳ gối lạy lục để khách hàng bỏ qua. Bản thân KH cũng gặp nhọ khi phải giải trình với các bên Audit 3rd party. Thời buổi Covid thế này thì đúng là họa vô đơn chí phúc bất trùng lai.

Muốn biết sự việc diễn biến thế nào, đón đọc phóng sự điều tra kì sau