Sau khi nhận được mẫu do cảng hàng không Nội Bài cung cấp, các chuyên gia của Công ty Cổ phần An ninh An toàn thông tin CMC (CMC InfoSec) đã tiến hành phân tích mã độc có tên thực thi: diskperf.exe. Theo CMC, khi bị lây nhiễm, máy tính dính mã độc có thể thay đổi hình ảnh hiển thị trên màn hình chính.
Ông Hà Thế Phương, Giám đốc Bảo mật CMC InfoSec cho biết, đây có thể là nguyên nhân khiến các màn hình hiển thị thông tin chuyến bay tại Nội Bài, Tân Sơn Nhất bị thay đổi, xuất hiện các thông tin kích động, xúc phạm Việt Nam và Philippines, xuyên tạc các nội dung về Biển Đông, trong vụ tấn công hôm 29/7 vừa qua.
Khi dính mã độc trên, nhiều tập dữ liệu trên máy tính bị mã hóa không thể khôi phục được nếu không có mã khóa bí mật do tin tặc sở hữu. Cơ chế của nó tương tự mã độc tống tiền, tuy nhiên, mã độc này sau khi mã hóa thông tin, không đưa ra bất kỳ yêu cầu nào về tiền chuộc hay điều kiện để mở khóa, nên có thể cho rằng đây thuần túy là một phương thức phá hoại.
Theo người đứng đầu bộ phận bảo mật CMC, mã độc trên có cơ chế tự lây lan. Đáng chú ý, sau khi lây nhiễm sang chỗ mới, mẫu mã độc tại chỗ mới tự biến đổi mình thành một biến thể "có vẻ khác" nhưng lõi và hành vi vẫn như cũ. Điều này nhằm ngụy trang, làm khó cho quá trình điều tra và mang tính chất đối phó cao. Các mẫu còn lại ở chỗ khác sẽ khó bị nhận dạng hơn, muốn tìm ra buộc phải thực hiện việc phân tích, mất nhiều thời gian.
"Đây mới chỉ là một trong nhiều mẫu mã độc phát hiện được sau vụ hệ thống thông tin sân bay Nội Bài bị tấn công", ông Phương chia sẻ. Mã độc này chưa từng xuất hiện tại Việt Nam hay trên thế giới và đây có thể là lý do các chương trình diệt virus phổ thông không phát hiện được.
Trước đó khi phân tích một số mẫu mã độc sau vụ tấn công hệ thống của Vietnam Airlines, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) đã phát hiện một số dấu hiệu mã độc ngủ đông trong hệ thống mạng Internet Việt Nam. Đơn vị này đề nghị các cấp liên quan khẩn cấp chặn kết nối đến ba địa chỉ web nguy hiểm, rà quét hệ thống, xoá bốn thư mục và tập tin mã độc cụ thể (xem chi tiết). Trong số này có mã độc trong file thực thi diskperf.exe mà CMC InfoSec đề cập trên. Ngoài việc xóa thủ công như hướng dẫn từ VNCERT, phần mềm diệt virus mới nhất do CMC phát hành đã được cập nhật để diệt loại mã độc này.
Theo Hiệp hội An toàn thông tin Việt Nam (VNISA), cuộc tấn công vào hệ thống của hãng Hàng không Quốc gia là dạng tấn công có chủ đích. Có dấu hiệu cho thấy có thể hệ thống đã bị tin tặc xâm nhập từ giữa năm 2014. Theo VNISA, những kẻ tấn công am hiểu hệ thống công nghệ thông tin của các cụm cảng hàng không, cả ở mức cấu trúc thông tin lẫn cơ chế vận hành thiết bị. Đáng chú ý, chúng có ý định khống chế, vô hiệu hóa hoàn toàn dữ liệu hệ thống.
Cho đến nay, Vietnam Airlines thông báo hệ thống công nghệ thông tin chính của họ đã hoàn tất quá trình kiểm tra và trở lại hoạt động. Hãng bay đã phối hợp với Tổng công ty Cảng hàng không Việt Nam khôi phục các máy tính tại quầy làm thủ tục ở Nội Bài, Tân Sơn Nhất. Đối với khách hàng chương trình Bông Sen Vàng, Vietnam Airlines thông báo sẽ tạm ngừng các chức năng trực tuyến, tuy nhiên vẫn đảm bảo đầy đủ quyền lợi của hội viên.