(PCWorldVN) Hồi đầu tháng 12 vừa qua, nhóm các tổ chức thuộc nhiều quốc gia khác nhau cho biết đã loại bỏ được mạng tội phạm trực tuyến quy mô lớn tên là 'Avalanche'.
Đây là một trong những hệ thống botnet lớn nhất hiện nay. Ròng rã hơn 4 năm qua, các tổ chức đã theo dõi và cố gắng triệt phá hệ thống này. Avalanche đã ảnh hưởng đến 180 quốc gia trên toàn cầu, và gần như chạm đến mọi người dùng Internet hiện nay.
Quy mô của Avalanche vô cùng lớn. Các đối tượng tội phạm đã sử dụng nền tảng này từ năm 2009 để tạo các cuộc tấn công lừa đảo, phát tán malware, luân chuyển tiền đánh cắp được qua biên giới và thậm chí sử dụng hệ thống này như một botnet để tấn công từ chối dịch vụ (DoS). Avalanche đã rất thành công và chủ yếu nhắm vào hai đối tượng, các tổ chức tài chính và dữ liệu tài chính cá nhân của người dùng. Theo Toà án tối cao Mỹ, thiệt hại mà Avalanche gây ra lên đến hàng trăm triệu USD trên toàn cầu.
Kiến trúc mạng tội phạm Avalanche với hơn 800.000 tên miền vừa bị các tổ chức quốc tế đánh sập. |
Dẹp bỏ được Avalanche cần đến sự hợp tác của nhiều tổ chức trên toàn cầu. Những nhà quản lý của các đơn vị từ hơn 30 quốc gia, trong đó có Europol, Mỹ, tổ chức tội chống tội phạm Anh Quốc, hợp tác với những công ty bảo mật tư nhân và các viện nghiên cứu. Kết quả là có 5 người bị bắt giữ, dẹp bỏ được 221 máy chủ, 37 máy chủ khác bị thu giữ và hơn 800.000 tên miền bị thu hồi, bị chặn hoặc bị ngắt kết nối. Có thể số lượng 800.000 tên miền bị thu hồi là bằng chứng để cho chúng ta thấy được quy mô của Avalanche là như thế nào. Theo tổ chức phi lợi nhuận Shadowserver Foundation, một botnet của Avalanche trung bình sẽ nhiễm vào hơn 1.000 tên miền mỗi ngày.
Hoạt động của Avalanche có thể xem là rất phức tạp, bởi vì nó liên quan đến việc phân tích, chia nhỏ phương pháp host "fast-Flickr" của nền tảng này, là phương pháp che dấu đi các hành động của botnet (như cách phân tán malware và lừa đảo) ẩn sau các địa chỉ IP proxy, mà các địa chỉ này thay đổi liên tục, nên rất khó lần ra dấu địa chỉ gốc. Để đương đầu với 20 dòng malware phát tán trên hệ thống này, nhóm điều tra đã sử dụng một quy trình gọi là "sinkholing", cắt nhỏ từng kênh liên lạc giữa các máy tính bị nhiễm và máy chủ gửi các lệnh có mã độc.
Phương pháp này làm gián đoạn các bản copy của malware do Avalanche phát tán, nhưng nó lại không loại bỏ được toàn bộ luồng malware, hoặc gỡ được phần mềm độc hại ra khỏi máy tính của nạn nhân. Dù vậy, ác chuyên gia nhận thấy phương pháp này lại thu hẹp được phạm vi tìm kiếm và nhận ra hệ thống này không chỉ đến từ một tổ chức tội phạm đơn lẻ.
Rob Wainwright, giám đốc Europol, cho biết việc xử lý được Avalanche có ý nghĩa rất to lớn, không đơn thuần chỉ là xoá sổ được một tổ chức tội phạm trực tuyến, mà cho thấy được sự kết hợp tốt giữa các đơn vị thực thi pháp luật trên khắp thế giới với nhau, là nền tảng để triệt phá những tổ chức phạm pháp trực tuyến khác. Còn Symantec, công ty bảo mật cũng tham gia chiến dịch này, chỉ ra rằng hệ thống mạng host malware đã bị một cú thúc chí mạng.
An ninh mạng, Avalanche, bảo mật mạng, botnet, Bùi Lê Duy, Europol, tội phạm trực tuyến