[Funland] Công ty chứng khoán VNDIRECT bị đánh sập hệ thống

sskkb

Xe tăng
Biển số
OF-761152
Ngày cấp bằng
26/2/21
Số km
1,969
Động cơ
150,915 Mã lực
Nơi ở
Hà Nội
VND down 4%, hết tuần này chắc down 30%.

Đang ôm VPB nay tăng trần mà ko bán đc, cay
Có vẻ như không down như các cụ lo sợ đâu.

VND mà down 30% thì cả thị trường sập rồi. Kinh nghiệm của em cho thấy là nếu 1 mã giá rớt do sự cố thì thường ko rớt nhiều và hồi phục cũng nhanh.
 

sskkb

Xe tăng
Biển số
OF-761152
Ngày cấp bằng
26/2/21
Số km
1,969
Động cơ
150,915 Mã lực
Nơi ở
Hà Nội
Thực tế thì việc dữ liệu bị mã hoá và dữ liệu bị rò rỉ là 2 việc rất khác nhau, và thông thường các case như này thì chỉ bị mã hoá tại local thôi, ít khi dữ liệu đc chuyển ra ngoài vì:
- Với các hệ thống lớn, nếu không phải người trong cuộc (đội dev) thì không dễ dàng để xác định dữ liệu giá trị đang nằm ở đâu. Cụ thể trong trường hợp này người ngoài (ví dụ hacker) vào thì giữa 1 rừng VM sẽ ko biết con nào là con DB, dựa theo naming của VM hoặc file config của app thì cũng chỉ có thể khoanh vùng chứ để xác định đc trong đó các DB/Table nào có giá trị thì còn khướt. Còn định lôi ra cả cục to (ví dụ nguyên file backup từng db hoặc vm) thì cũng phải xử lý vấn đề transfer ra ngoài như nào vì từ các máy đó chắc chắn ko thể connect trực tiếp ra internet đưọc mà chỉ mở port theo từng dịch vụ và có kiểm soát theo ip source-destination. Để transfer ra đc tùy hệ thống, có thể không phải bất khả thi nhưng sẽ phải rất mất công, thời gian.
- Mục đích là mã hoá để đòi tiền chuộc thì việc lấy data ra ngoài thường không đc hacker quan tâm. Nó sẽ mã hoá luôn thay vì mất thời gian tìm dữ liệu nằm ở đâu, cách transfer lượng lớn data ra ngoài,... mà ko biết có giá trị gì hay không.
Tóm lại, theo kinh nghiệm cá nhân mình thì việc bị mã hoá dữ liệu và việc bị khai thác/rò rỉ dữ liệu ở các hệ thống như này thường là 2 vụ việc hoàn toàn khác nhau.
Thực ra bị mã hóa và rò rỉ lại thường xuyên đi đôi với nhau đó cụ. Mã độc ngoài việc mã hóa thì nó còn tự động scan trên máy tính xem dữ liệu nào là nhạy cảm (theo keywords cấu hình sẵn) để gửi ra ngoài. Có thể dữ liệu trong DB nó ko xuất ra ngoài được , nhưng người dùng vẫn thường xuyên xuất dữ liệu từ DB ra lưu tại local mà.

Việc dữ liệu chỉ bị mã hóa mà ko thấy rò rỉ là do thằng hacker nó chả thấy dữ liệu đó có cơ hội gì khai thác được, vd tài liệu, văn bản của cá nhân, chỉ quan trọng với chủ dữ liệu chứ người khác ko thèm.

Nhưng nếu dữ liệu là số thẻ tín dụng, tài khoản ngân hàng, các thông tin cá nhân nhạy cảm thì nó vừa mã hóa trên máy nạn nhân, vừa tung ngay ra darkweb để khai thác ấy.

Nó có mò qua cái crack đâu bác. Mà dữ liệu VNDIRECT quan trọng thế sao không dùng Veritas để backup như bên PTI nhỉ?
Tiết kiệm chi phí 😂 mà vấn đề ở đây ko phải tool, mà là người quản trị lười, ko backup, ko test dữ liệu backup.
 

sskkb

Xe tăng
Biển số
OF-761152
Ngày cấp bằng
26/2/21
Số km
1,969
Động cơ
150,915 Mã lực
Nơi ở
Hà Nội
Cụ nào hay vào darkweb cho em hỏi vào đó kiểu gì, trông có khác gì web bình thường chúng ta đang dùng không ? :)
Nó là các trang web y chang các trang web bình thường khác, phần nhiều là forum như cái of này thôi cụ vì dễ trao đổi thông tin theo từng chủ đề.

Điểm khác biệt là không thể hoặc rất khó dùng google mà tìm ra.
 

grape

Đi bộ
Biển số
OF-63145
Ngày cấp bằng
2/5/10
Số km
9
Động cơ
438,766 Mã lực
Các bác em, theo em hiểu thì ở đây nó không phải là một con ransomware còi lây nhiễm từ máy trạm tình cờ đi lạc vào vùng máy chủ của VND (có nhẽ đâu lởm thế? Mấy cái này tối thiểu hàng năm cũng phải audit, Redteam… rồi chứng chỉ PCIDSS các kiểu) mà đây là cuộc tấn công có chủ đích khi hacker chiếm quyền root của máy chủ và bắt đầu tiến hành mã hóa tống tiền.

Vậy cái cần quan tâm là làm thế éo nào hacker có thể dạo chơi trong vùng máy chủ của VND như đi chợ vậy chứ không phải là quan tâm đến backup với restore ạ. Tầm này các team khắp nơi chắc đang vục mặt để tracing log của router, firewall, web filter, WAF... để soi, chứ người ta chưa nghĩ nhiều đến restore đâu. Restore mà mai nó lại vào tiếp thì restore làm mẹ gì, Phỏng ạ?

Giờ SIEM cũng bị mã cbn hóa rồi nên chắc anh em đang soi bằng cơm ở từng thiết bị.

Đấy là ngu ý của em ạ! Và chính vì vậy em cũng đồ rằng còn lâu hệ thống mới được restore, tuỳ trình của team investigate.
 
Chỉnh sửa cuối:

Vịt Tập Bay

Xe tải
Biển số
OF-774754
Ngày cấp bằng
18/4/21
Số km
411
Động cơ
61,327 Mã lực
Các bác em, theo em hiểu thì ở đây nó không phải là một con ransomware còi lây nhiễm từ máy trạm tình cờ đi lạc vào vùng máy chủ của VND (có nhẽ đâu lởm thế? Mấy cái này tối thiểu hàng năm cũng phải audit, Redteam… rồi chứng chỉ PCIDSS các kiểu) mà đây là cuộc tấn công có chủ đích khi hacker chiếm quyền root của máy chủ và bắt đầu tiến hành mã hóa tống tiền.

Vậy cái cần quan tâm là làm thế éo nào hacker có thể dạo chơi trong vùng máy chủ của VND như đi chợ vậy chứ không phải là quan tâm đến backup với restore ạ. Tầm này các team khắp nơi chắc đang vục mặt để tracing log của router, firewall, web filter, WAF... để soi, chứ người ta chưa nghĩ nhiều đến restore đâu. Restore mà mai nó lại vào tiếp thì restore làm mẹ gì, Phỏng ạ?

Giờ SIEM cũng bị mã cbn hóa rồi nên chắc anh em đang soi bằng cơm ở từng thiết bị.

Đấy là ngu ý của em ạ! Và chính vì vậy em cũng đồ rằng còn lâu hệ thống mới được restore, tuỳ trình của team investigate.
Hihiii, thậm chí có bản Backup nếu sạch còn phải cất kỹ, cô lập nó để sau lôi ra lấy dữ liệu
vấn đề cấp thiết bây giờ là tìm ra bị xâm nhập từ đâu, tìm ra rồi thì phải vá lỗ hổng, xây dựng cơ chế phòng vệ...
Sập lần nữa thì niềm tin người tiêu dùng sẽ về con số 0.
Quy trình xử lý khủng hoảng truyền thông nó cũng cực kỳ quan trọng không kém gì về mặt hệ thống dữ liệu.
Trong những cái tồi tệ, hãy bình tĩnh và sáng suốt để lựa chọn cái ít tồi tệ nhất 🙃🙃
 

grape

Đi bộ
Biển số
OF-63145
Ngày cấp bằng
2/5/10
Số km
9
Động cơ
438,766 Mã lực
Hihiii, thậm chí có bản Backup nếu sạch còn phải cất kỹ, cô lập nó để sau lôi ra lấy dữ liệu
vấn đề cấp thiết bây giờ là tìm ra bị xâm nhập từ đâu, tìm ra rồi thì phải vá lỗ hổng, xây dựng cơ chế phòng vệ...
Sập lần nữa thì niềm tin người tiêu dùng sẽ về con số 0.
Quy trình xử lý khủng hoảng truyền thông nó cũng cực kỳ quan trọng không kém gì về mặt hệ thống dữ liệu.
Trong những cái tồi tệ, hãy bình tĩnh và sáng suốt để lựa chọn cái ít tồi tệ nhất 🙃🙃
vầng, vậy nên em chết cười với mấy bác tự xưng làm Security trên kia nói về mã hoá với key như đúng rồi ấy. Giờ xử lý kỹ thuật và truyền thông là hai ông to nhất Case luôn.

Về kỹ thuật, em chỉ lo đây là APT, nó upload tool toy từ đời Lý đời Tống rồi xong giờ nó mã hoá cả SIEM, log trên devices thì bay mất rồi ko biết lấy gì để hunt.

BTW, có ai biết VND có SOC không nhỉ? Tự làm hay đi thuê? Nếu thuê thì thuê đội nào? Để em tránh mất tiền ngu.
 

sskkb

Xe tăng
Biển số
OF-761152
Ngày cấp bằng
26/2/21
Số km
1,969
Động cơ
150,915 Mã lực
Nơi ở
Hà Nội
Các bác em, theo em hiểu thì ở đây nó không phải là một con ransomware còi lây nhiễm từ máy trạm tình cờ đi lạc vào vùng máy chủ của VND (có nhẽ đâu lởm thế? Mấy cái này tối thiểu hàng năm cũng phải audit, Redteam… rồi chứng chỉ PCIDSS các kiểu) mà đây là cuộc tấn công có chủ đích khi hacker chiếm quyền root của máy chủ và bắt đầu tiến hành mã hóa tống tiền.

Vậy cái cần quan tâm là làm thế éo nào hacker có thể dạo chơi trong vùng máy chủ của VND như đi chợ vậy chứ không phải là quan tâm đến backup với restore ạ. Tầm này các team khắp nơi chắc đang vục mặt để tracing log của router, firewall, web filter, WAF... để soi, chứ người ta chưa nghĩ nhiều đến restore đâu. Restore mà mai nó lại vào tiếp thì restore làm mẹ gì, Phỏng ạ?

Giờ SIEM cũng bị mã cbn hóa rồi nên chắc anh em đang soi bằng cơm ở từng thiết bị.

Đấy là ngu ý của em ạ! Và chính vì vậy em cũng đồ rằng còn lâu hệ thống mới được restore, tuỳ trình của team investigate.
Cái bác cần quan tâm rất đúng. Theo như thông tin về lỗ hổng đang lan truyền trên mạng thì việc tồn tại mấy lỗ hổng đó như thể VND thuê sinh viên mới ra trường làm quản trị.

Nhưng mà phải restore cụ ạ, càng nhanh càng tốt. Vì đây là cty chứng khoán, nơi các nhà đầu tư giao dịch liên quan đến tiền bạc, chứ ko phải nơi chém gió. VNDirect ngừng hoạt động 4 ngày, chẳng may thị trường sụt giảm, giá trị tài sản giảm 28-60% thì nhà đầu tư họ kiện cho sập cty luôn, thì lúc đó cần gì phải quan tâm xem hacker vào bằng đường nào nữa :))
 

grape

Đi bộ
Biển số
OF-63145
Ngày cấp bằng
2/5/10
Số km
9
Động cơ
438,766 Mã lực
Cái bác cần quan tâm rất đúng. Theo như thông tin về lỗ hổng đang lan truyền trên mạng thì việc tồn tại mấy lỗ hổng đó như thể VND thuê sinh viên mới ra trường làm quản trị.

Nhưng mà phải restore cụ ạ, càng nhanh càng tốt. Vì đây là cty chứng khoán, nơi các nhà đầu tư giao dịch liên quan đến tiền bạc, chứ ko phải nơi chém gió. VNDirect ngừng hoạt động 4 ngày, chẳng may thị trường sụt giảm, giá trị tài sản giảm 28-60% thì nhà đầu tư họ kiện cho sập cty luôn, thì lúc đó cần gì phải quan tâm xem hacker vào bằng đường nào nữa :))
Cũng có thể đặc thù như bác nói thì VND sẽ lên sớm, nhưng nếu vậy em mà là các cụ có tài khoản trên đó thì cứ quân tử phòng bị gậy, có tiền thì rút hết ra, cho tài khoản về zero rồi nằm yên quan kỳ biến ạ.
 

thanhlam171

Xe tăng
Biển số
OF-127195
Ngày cấp bằng
10/1/12
Số km
1,130
Động cơ
391,346 Mã lực
Nơi ở
Hà Nội
Cũng có thể đặc thù như bác nói thì VND sẽ lên sớm, nhưng nếu vậy em mà là các cụ có tài khoản trên đó thì cứ quân tử phòng bị gậy, có tiền thì rút hết ra, cho tài khoản về zero rồi nằm yên quan kỳ biến ạ.
Sàn hẹo mà vẫn rút tiền trên sàn đc à cụ. Em ko chơi VND nên ko rõ.
 
Biển số
OF-709814
Ngày cấp bằng
8/12/19
Số km
670
Động cơ
7,538 Mã lực
Hihiii, thậm chí có bản Backup nếu sạch còn phải cất kỹ, cô lập nó để sau lôi ra lấy dữ liệu
vấn đề cấp thiết bây giờ là tìm ra bị xâm nhập từ đâu, tìm ra rồi thì phải vá lỗ hổng, xây dựng cơ chế phòng vệ...
Sập lần nữa thì niềm tin người tiêu dùng sẽ về con số 0.
Quy trình xử lý khủng hoảng truyền thông nó cũng cực kỳ quan trọng không kém gì về mặt hệ thống dữ liệu.
Trong những cái tồi tệ, hãy bình tĩnh và sáng suốt để lựa chọn cái ít tồi tệ nhất 🙃🙃
Hệ thống đã bị hack rồi thì phải chạy trên hệ thống dự phòng hoặc build môi trường mới vì khi bị hack sẽ có khả năng cao bị cài backdoor. Tìm nguyên nhân thì vẫn cứ tìm. Restore vẫn phải làm ngay. VNDIRECT thì em không rõ hệ thống họ thế nào nhưng mấy dự án còi e triển khai thì bao giờ cũng có hệ thống dự phòng được cài đặt y chang hệ thống chính. Bình thường để chạy dev, UAT, backup database, quản lý source code. Khi hệ thống chính gặp trục trặc là chuyển sang đc ngay.
 
Chỉnh sửa cuối:

Vịt Tập Bay

Xe tải
Biển số
OF-774754
Ngày cấp bằng
18/4/21
Số km
411
Động cơ
61,327 Mã lực
Hệ thống đã bị hack rồi thì phải chạy trên hệ thống dự phòng hoặc build môi trường mới vì khi bị hack sẽ có khả năng cao bị cài backdoor. Tìm nguyên nhân thì vẫn cứ tìm. Restore vẫn phải làm ngay. VNDIRECT thì em không rõ hệ thống họ thế nào nhưng mấy dự án còi e triển khai thì bao giờ cũng có hệ thống dự phòng được cài đặt y chang hệ thống chính. Bình thường để chạy dev, UAT, backup database, quản lý source code. Khi hệ thống chính gặp trục trặc là chuyển sang đc ngay.
Tất cả hệ thống đều oẳng chó thì sao cụ.
Vậy mới là lúc nhức nhức cái đầu
Hệ thống VND có thể hoạt động sớm trở lại nhưng để khắc phục triển để thì rất lâu.
Lộ trình 4 giai đoạn VND đưa ra chỉ là xử lý khủng hoảng truyền thông. Nó không khác gì kiểu bọn cháu lựa chọn đưa ra phương án khi mà công trường xây dựng dự án xảy ra tai nạn chớt người hay sản xuất thực phẩm gặp sự cố.

Đến giờ là 6h55 ngày 28/03 vẫn ngỏm thì cháu e rằng các cụ muốn giao dịch trở lại phải đợi sang tháng 4 " tháng tư là lời nói dối của em 🙃🙃"
 

Opel Astra

Xe điện
Biển số
OF-803182
Ngày cấp bằng
24/1/22
Số km
4,061
Động cơ
54,372 Mã lực
Tuổi
24
Hệ thống đã bị hack rồi thì phải chạy trên hệ thống dự phòng hoặc build môi trường mới vì khi bị hack sẽ có khả năng cao bị cài backdoor. Tìm nguyên nhân thì vẫn cứ tìm. Restore vẫn phải làm ngay. VNDIRECT thì em không rõ hệ thống họ thế nào nhưng mấy dự án còi e triển khai thì bao giờ cũng có hệ thống dự phòng được cài đặt y chang hệ thống chính. Bình thường để chạy dev, UAT, backup database, quản lý source code. Khi hệ thống chính gặp trục trặc là chuyển sang đc ngay.
Tôi tin là, nó thậm chí có đến 2 system dự phòng ấy chứ.
Cái mái bai còn có đến 3 hệ thống độc lập.
Còn VND, một đống tiền ở đấy chứ đùa à.
 

Huyquac

Xe máy
Biển số
OF-841834
Ngày cấp bằng
16/10/23
Số km
68
Động cơ
326 Mã lực
Tôi tin là, nó thậm chí có đến 2 system dự phòng ấy chứ.
Cái mái bai còn có đến 3 hệ thống độc lập.
Còn VND, một đống tiền ở đấy chứ đùa à.
Đừng nói quên Backup nha các cụ! Mong VND sớm khôi phục được hệ thống! 🙏
 

longpq

Xe máy
Biển số
OF-124583
Ngày cấp bằng
17/12/11
Số km
80
Động cơ
380,253 Mã lực
Các bác em, theo em hiểu thì ở đây nó không phải là một con ransomware còi lây nhiễm từ máy trạm tình cờ đi lạc vào vùng máy chủ của VND (có nhẽ đâu lởm thế? Mấy cái này tối thiểu hàng năm cũng phải audit, Redteam… rồi chứng chỉ PCIDSS các kiểu) mà đây là cuộc tấn công có chủ đích khi hacker chiếm quyền root của máy chủ và bắt đầu tiến hành mã hóa tống tiền.

Vậy cái cần quan tâm là làm thế éo nào hacker có thể dạo chơi trong vùng máy chủ của VND như đi chợ vậy chứ không phải là quan tâm đến backup với restore ạ. Tầm này các team khắp nơi chắc đang vục mặt để tracing log của router, firewall, web filter, WAF... để soi, chứ người ta chưa nghĩ nhiều đến restore đâu. Restore mà mai nó lại vào tiếp thì restore làm mẹ gì, Phỏng ạ?

Giờ SIEM cũng bị mã cbn hóa rồi nên chắc anh em đang soi bằng cơm ở từng thiết bị.

Đấy là ngu ý của em ạ! Và chính vì vậy em cũng đồ rằng còn lâu hệ thống mới được restore, tuỳ trình của team investigate.
Em cũng nghĩ như cụ. Em thâý các vụ lớn như này ở VN 110% là người nội bộ 😁.
Còn giờ bằng mọi giá vẫn dựng lên 1 bản có dữ liệu gần nhất, để đó để khách vào xem được cái đã. Để thế tính sau. Làm để xử lý khủng khoảng đã.
Hacker già giơ thì kệ mẹ đấy, cho mày dựng lên đó, tao cũng theo dõi đã rồi tính tiếp. Trẻ trâu thì vào phá tiếp => trò săn và đi săn bắt đầu.
Túm lại em thấy ngồi chờ tiếp thôi. Người trong còn chưa đoán đc, chưa mò ra nổi, người ngoài thì ngồi chờ thôi .
 

Haiau69

Xe buýt
Biển số
OF-593147
Ngày cấp bằng
3/10/18
Số km
598
Động cơ
147,669 Mã lực
Nơi ở
Hà Nội
Mất bò mới lo làm chuồng.


Theo em kiểu quản lý an ninh CNTT hớ hênh của các công ty chứng khoán là không hiếm đâu. Ông nào dính trước thôi.
 

Nhimtiu

Xe lăn
Biển số
OF-210290
Ngày cấp bằng
16/9/13
Số km
10,150
Động cơ
572,058 Mã lực
Cũng có thể đặc thù như bác nói thì VND sẽ lên sớm, nhưng nếu vậy em mà là các cụ có tài khoản trên đó thì cứ quân tử phòng bị gậy, có tiền thì rút hết ra, cho tài khoản về zero rồi nằm yên quan kỳ biến ạ.
Các ndt thì tầm này hàng nhiều hơn tiền trên tk cụ ạ nên tt ổn định còn đỡ chứ nó điều chỉnh mạnh k mua k bán đc mới Binladen.
 
Thông tin thớt
Đang tải

Bài viết mới

Top