Tìm hiểu nguyên nhân các cuộc tấn công DNS hijacking các Website nổi tiếng

143

Gần đây hàng loạt website của các hãng nổi tiếng trên thế giới như : Avira, AVG, WhatApp, Google Malaysia, LeaseWeb, Metasploit, Alexa… là nạn nhân của các nhóm hacker khác nhau. Các website này bị thay đổi thông tin DNS và trỏ tới một địa chỉ IP khác so với địa chỉ IP đúng của nó.

Về cơ bản, DNS ngày nay là một hệ thống phân cấp của các máy chủ tên miền gốc, các máy chủ DNS chứng thực tên miền, các máy chủ DNS đệ quy. Đa số những máy chủ gốc (root) được vận hành bởi những tổ chức lớn như ICANN, RIPE hay VeriSign, và hầu hết có nhiệm vụ lưu trữ một danh sách các máy chủ chứng thực tên miền. Những máy chủ chứng thực tên miền là những cơ sở dữ liệu, giúp chứng thực tên miền đã được đề cử là một nguồn “đáng tin cậy” của tiến trình phân giải tên miền sang địa chỉ IP. Theo đó, bất cứ địa chỉ IP nào được lưu trữ trong máy chủ chứng thực tên miền thì đó cũng là địa chỉ IP mà trình duyệt web người dùng nhận. Riêng các máy chủ DNS đệ quy thường được vận hành bởi các nhà cung cấp dịch vụ Internet (ISP) hoặc các doanh nghiệp như OpenDNS hay Google, thực hiện nhiệm vụ chính qua hai bước tạm minh họa gồm: đến máy chủ tên miền gốc để hỏi về máy chủ chứng thực tên miền, sau đó đến máy chủ chứng thực để hỏi địa chỉ IP. Ở góc độ người dùng cuối là khách truy cập website, họ tương tác với DNS qua các máy chủ DNS đệ quy để truy cập vào website đích. Đối với chủ nhân tên miền, khi cập nhật địa chỉ IP hay các thông số DNS, họ chỉ tương tác với máy chủ chứng thực tên miền chứ không bao giờ thực sự tương tác trực tiếp với máy chủ gốc. Mấu chốt vấn đề là ở đây khi các máy chủ gốc và các máy chủ DNS đệ quy hoàn toàn tin tưởng vào máy chủ chứng thực. Khi thay đổi thông số trong máy chủ chứng thực, nó sẽ tự động ảnh hưởng đến tất cả người dùng Internet chỉ sau vài phút hoặc vài giờ tùy cấp độ tên miền. Nếu hacker thâm nhập vào máy chủ chứng thực, họ có thể điều hướng người dùng sang địa chỉ IP khác với cùng tên miền đó.

Các tình huống được đặt ra tại sao các hacker trong một thời gian ngắn có thể tấn công Defaced được nhiều website đến vậy, liệu có phải là cuộc tấn công phishing các nhà nghiên cứu đã giả định tình huống này. Nhưng thật sự không phải vì khó có thể tấn công phishing trong một khoảng thời gian ngắn mà có thể lấy được thông tin và thay đổi DNS của nhiều website lớn như vậy được.

 hacker p1

Hình ảnh website Metasploit bị hack bởi nhóm KDMS và để lại thông điệp tấn công nhiều website khác

Các website hầu hết không bị ảnh hưởng tới dữ liệu người dùng mà chỉ bị chuyển hướng tới một địa chỉ website khác được điều khiển bới hacker. Hành động này cũng khá nguy hiểm để tiếp tục khai thác tấn công phishing lừa người dùng đăng nhập tài khoản hoặc cài đặt các add-on hoặc phần mềm độc hại nhằm ăn cắp thông tin người dùng. Hình thức tấn công này khiến website không thể truy cập được gây thiệt hại lớn cho các công ty và uy tín về bảo mật cũng bị giảm.

hacker p2

Nhà cung cấp hosting hàng đầu thế giới LeaseWeb cũng là nạn nhân của đợt tấn công này

Nguyên nhân các website này bị tấn công vẫn còn nhiều giả thiết. Trong đó nổi lên nghi vấn về lỗ hổng 0-Day của VHMCS thời gian gần đây. Đoạn mã khai thác được viết bằng ngôn ngữ python và đang được chia sẻ miễn phí trên exploit-db và 1337day. Theo nhận định của Leaseweb gần đây có lẽ là do nhà cung cấp dịch vụ cung cấp tên miền đã bị tấn công qua lỗ hổng 0-day SQL injection WHMCS qua cổng thanh toán. Theo thông báo của Purevpn thì dịch vụ của họ cũng đã bị dính lỗ hổng SQL Injection trong phần mềm WHMCS và bị khai thác chiếm quyền điều khiển tài khoản SendGird và gửi mail giả mạo hàng loạt khoảng 70.000 tài khoản vào 6/10/2013. Theo báo cáo của Avira thì họ khẳng định Network Solutions đã bị hack và thay đổi thông tin DNS của mình. Dữ liệu người dùng của Avira không bị ảnh hưởng vì họ không sử dụng dịch vụ hosting của Network solutions.

Vào tháng 5 năm 2012 lỗ hổng 0-day SQL injection WHMCS đã được công bố. Ngày 21/05/2012 Matt Pugh người sáng lập công ty ban đầu cho rằng đó chỉ là cuộc tấn công social và cho rằng hacker không tấn công được vào máy chủ của họ. Ngày 29/05/2012 WHMCS đã thừa nhận sản phẩm của mình bị dính lỗ hổng SQL injection trong phiên bản hiện tại 4.0 và 5.0 và thông báo gửi mail tới tất cả khách hàng về bản vá lỗi. Trước đó vào tháng 2/2012 lỗ hổng này đã được chào bán trên các diễn đàn UG với giá 6k usd và nhận thanh toán qua LR [Liberty Reserve] và chỉ bán cho 3 người duy nhất, cung cấp thêm 3 hình thức upload shell sau khi đăng nhập với quyền admin. Hacker tuổi teen Cosmo tại Long Beach, California thuộc Team UGNazi đã bị bắt sau khi công bố 1.7Gb dữ liệu giá trị, hacker đã xóa tất cả dữ liệu trên máy chủ dẫn đến mất hết dữ liệu của các đơn đặt hàng mới nhất, dữ liệu người dùng gồm 500.000 tên người dùng, mật khẩu và trong đó có nhiều thông tin chi tiết về thẻ tín dụng, chỉ sau khi Matt Pugh báo cáo cho FBI trong vòng 24h. Bản án cho hacker tuổi teen này khi bị bắt ở tuổi 15 khi chưa đủ tuổi vị thành niên là bị cấm tham gia các hoạt động UG cũng như Anonymous bị theo dõi hoạt động internet trong 6 năm.

Cách khắc phục lỗ hổng và tránh bị tấn công DNS hijacking :

Phiên bản WHMCS bị lỗi 0-day và bị khai thác hàng loạt là version 5.1 và 5.2.7 hiện có thể update lên Version 5.2.8 hoặc 5.1.1 lỗ hổng này hiện đang được public miễn phí trên các diễn đàn hacker. Hiện tại hầu hết các dịch vụ đăng ký tên miền hiện nay đều cung cấp chức năng “khóa” (Lock) và “mở khóa” tên miền. Khi thiết lập chế độ “khóa”, hệ thống sẽ không cho phép bất kỳ ai thay đổi, di chuyển hay xóa thông số DNS đã nhập trước đó, bao gồm cả chủ nhân tài khoản. Nhưng đồng thời bên dịch vụ cũng cung cấp bảng điều khiển để chủ nhân tự mở khóa, do đó, việc hacker đã chiếm tài khoản tìm cách mở khóa và thay đổi DNS chỉ là vấn đề thời gian. Do đó, các chuyên gia khuyến cáo đơn vị quản lý tên miền các tổ chức, doanh nghiệp lớn nên có phương thức giao tiếp trực tiếp bên ngoài khi cần “mở khóa”.