Google Việt Nam, Lenovo bị hack như thế nào?

Các chuyên gia an ninh mạng Bkav cho rằng website Lenovo bị tấn công tương tự như trường hợp trang web Google Việt Nam cách đây vài ngày: hệ thống của nhà đăng ký tên miền đã bị can thiệp để chuyển hướng lưu lượng sang các máy chủ khác, trong đó có máy chủ do hacker kiểm soát.

Google Việt Nam bị đột ngột chuyển hướng tới một website khác

Hôm 23/02/2015, google.com.vn bất ngờ chuyển hướng người dùng trong khoảng hơn 1 giờ đồng hồ tới một trang web có nội dung: "Hacked by Lizard Squad, greetz from antichrist, Brian Krebs, sp3c, Komodo, ryan, HTP & Rory Andrew Godfrey (holding it down in Texas)". Thông điệp này cũng kèm theo link tới trang Twitter của nhóm và website cung cấp dịch vụ tấn công thuê Lizard Stresser.

Website Lenovo cũng bị chuyển hướng tên miền chứ không phải bị tấn công thay đổi giao diện (deface).

Sớm hôm nay, theo giờ Việt Nam, nhóm hacker này cũng nhận trách nhiệm tấn công website lenovo.com. Dư luận cho rằng nguyên nhân khiến Lenovo bị hacker gây rối là do hãng này gần đây bị phát hiện đã cài sẵn phần mềm adware Superfish trong tất cả các máy tính Lenovo mới (hiện Lenovo đã vô hiệu phần mềm này trên tất cả sản phẩm của mình và cam kết sẽ không cài sẵn Superfish nữa). Tuy nhiên, tại sao trang Google Việt Nam bị chuyển hướng thì chưa có lý giải nào là hợp lý.

Theo quan sát của các chuyên gia an ninh mạng Bkav, bản chất cả hai vụ tấn công này là giống nhau: hacker không phải tấn công được vào hệ thống của Google hay Lenovo mà chỉ đơn giản chiếm được quyền kiểm soát tên miền và chuyển hướng tên miền tới một trang web có chủ đích.

"Với người dùng trước một hiện tượng như vậy có thể cho ngay là website bị tấn công thay đổi giao diện, có nghĩa là hệ thống của doanh nghiệp bị xâm nhập. Nhưng thực tế, đây chỉ là một cách chiếm quyền điều khiển tên miền và chuyển hướng tới một trang web có chủ đích", ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách An ninh mạng Tập đoàn công nghệ Bkav nói. "Đây cũng là một cảnh báo việc quản trị tên miền ở các nhà đăng ký hiện quá đơn giản bằng việc sử dụng username và mật khẩu".

Ông Ngô Tuấn Anh cho rằng biện pháp quản trị an toàn nhất là qua xác thực chữ ký số. Khi đó, dù hacker có thâm nhập và chiếm được mật khẩu, tài khoản quản trị thì vẫn không thể thay đổi bản ghi nếu không xác thực số đính kèm.

Trước đó, trả lời báo Vietnam Plus, đại diện cơ quan quản lý tên miền Việt Nam VNNIC xác nhận các tên miền "www.google.com.vn" và "google.com.vn" bị thay đổi địa chỉ do hai trong ba địa chỉ máy chủ DNS quản lý tên miền google.com.vn của Google đã được đơn vị quản lý tên miền thay đổi từ "ns1.google.com" và "ns2.google.com" sang hai địa chỉ khác là "dan.ns.cloudflare.com" và "irma.ns.cloudflare.com".

Google sau đó xác nhận yêu cầu thay đổi là không hợp lệ và yêu cầu trợ giúp. VNNIC đã cập nhật lại thông tin bản ghi của google.com.vn theo dữ liệu trước thời điểm sự cố, khóa bản ghi, đưa tên miền google.com.vn trở lại hoạt động hoàn toàn bình thường.

Theo tin đăng trên các trang ZDNet, PCWorld, cả hai cuộc tấn công chiếm domain Google Việt Nam và Lenovo là có thể do các kẻ tấn công đã chiếm quyền kiểm soát qua Webnic.cc, nhà đăng ký tên miền Malaysia cho cả hai tên miền nói trên cùng 600 nghìn tên miền khác.

Webnic.cc bị tạm thời hạ xuống để khắc phục sự cố

Hiện trang web Webnic.cc không thể truy cập được. Trả lời câu hỏi của báo chí, một đại diện của Webnic ở Kuala Lumpur thừa nhận sự cố nhưng nói Webnic không có bất kỳ thông tin gì thêm để chia sẻ lúc này. Và rằng họ đang điều tra sự việc.

Trong khi đó, blog KrebsOnSecurity cho biết họ đã chat với hai người đàn ông được xác định là thành viên của nhóm hacker Lizard Squad. Hai người đàn ông này đã để lại danh tính là Ryan King và Rory Andrew Godfreytrong hai vụ tấn công chuyển hướng tên miền Google Việt Nam và Lenovo.

Qua trao đổi, cả King và Godfrey nói Lizard Squad đã sử dụng lỗ hổng chèn lệnh thực thi ở Webnic.cc để tải lên một rootkit — một bộ công cụ tấn công mà kẻ xâm nhập có thể lẩn trốn trong hệ thống đã bị xâm nhập và cho kẻ tấn công quyền truy cập tới hệ thống đó lâu dài.

King và Godfrey còn cho biết Lizard Squad cũng giành được quyền truy cập tới kho mã bản quyền "auth codes" của Webnic (còn được biết đến là các "bí mật chuyển giao" hoặc mã "EPP"), các mã nguồn được bảo vệ chặt chẽ và duy nhất có thể được sử dụng để chuyển giao bất kỳ tên miền nào cho một nhà đăng ký tên miền khác. Để chứng minh cho mức độ truy cập này, nhóm Lizard Squad đã đăng tải trên Twitter cái mà họ tuyên bố là một trong những mã đó.

King và Godfrey cho biết rootkit đã được xóa khỏi các máy chủ của Webnic, có nghĩa là hacker không còn khả năng chiếm các tên miền của Webnic theo cách tương tự như đã làm với Lenovo.com hay Google Vietnam.

Mặc dù vậy, các chuyên gia an ninh mạng cho rằng những vụ tấn công như vậy, nhất là vào các trang web có lượng truy cập lớn như Google, là rất nguy hiểm bởi vì những kẻ tấn công có thể chuyển hướng người dùng đến các website có thể tự động cài đặt mã độc. Rất may trường hợp website Google Việt Nam và Lenovo không phải như vậy. Tuy nhiên, nó là một cảnh báo chung cho các nhà đăng ký tên miền nhanh chóng áp dụng công nghệ bảo mật tốt hơn để bảo vệ các bản ghi tên miền.

Thanh Xuân