Các nhà nghiên cứu bảo mật mới đây vừa phát hiện một chiến dịch mã độc chiếm quyền điều khiển của hơn 100 ngàn router ở các gia đình và thay đổi thiết lập DNS để hack người dùng bằng những trang web độc hại.
Thông tin này được công ty an ninh mạng NetLab của Qihoo 360 chia sẻ. Chiến dịch được gọi là GhostDNS và có nhiều nét tương đồng với mã độc DNSChanger nổi tiếng, hoạt động bằng cách thay đổi thiết lập DNS ở các thiết bị chịu ảnh hưởng. Từ đó, cho phép kẻ tấn công có thể điều hướng truy cập internet của người dùng thông qua các máy chủ nguy hại và ăn cắp các thông tin nhạy cảm của họ như tài khoản truy cập hay tài khoản ngân hàng.
Theo NetLab, hệ thống GhostDNS có rất nhiều đoạn mã dùng để dò tìm mật khẩu của các router từ 21 nhà sản xuất khác nhau. Thậm chí nó còn có cả các đoạn mã tấn công được thiết kế dành cho các router hoặc firmware của router bị ảnh hưởng và được tìm thấy triển khai ở hơn 100 server, hầu hết là trên Google Cloud.
Chưa hết, GhostDNS còn có hàng loạt các module phụ trợ để kẻ tấn công có thể quét trên internet và tìm ra các router nằm trong nhóm bị ảnh hưởng và có thể khai thác. Đáng chú ý là một module DNS giả mạo chịu trách nhiệm phân giải tên miền mục tiêu từ các máy chủ web do kẻ tấn công kiểm soát, chủ yếu liên quan đến các dịch vụ ngân hàng và đám mây cùng với một tên miền thuộc về công ty bảo mật có tên là Avira.
Cũng theo các nhà bảo mật thì từ 21/9 đến 27/9, chiến dịch GhostDNS đã thao túng hơn 100 ngàn router mà trong đó khoảng hơn 87% là các thiết bị tại Brazil. Điều này cho thấy đất nước này chính là mục tiêu chính của GhostDNS, với khoảng hơn 70 router/firmware có liên quan và hơn 50 tên miền như nhiều ngân hàng lớn tại Brazil, hay thậm chí là các tên miền .br của Netflix, Citybank cũng bị chiếm để ăn cắp các tài khoản đăng nhập.
Do quy mô lớn và sử dụng nhiều phương pháp tấn công khác nhau với quá trình tấn công tự động nên chiến dịch GhostDNS được coi là một mối nguy hiểm thật sự đối với người dùng. Do đó các nhà nghiên cứu khuyến cáo người dùng nên chủ động tự bảo vệ router tại gia của họ trước sự tấn công của hacker. Đáng lưu ý là trong số danh sách các router bị ảnh hưởng có khá nhiều các mẫu router của D-Link và TP-Link được không ít người dùng trong nước sử dụng. Thậm chí có cả tên của nhà sản xuất Huawei, tên thương hiệu của trang bị đang được nhiều nhà mạng cung cấp cho người dùng theo hợp đồng internet.
Người dùng được khuyến cáo nên bảo đảm router đã cập nhật firmware mới nhất và sử dụng mật khẩu mạnh và phức tạp để truy cập vào router. Mặt khác, các nhà nghiên cứu cũng đề nghị người dùng cân nhắc tắt tính năng quản trị từ xa (remote administration), thay đổi các địa chỉ IP mặc định trong mạng nội bộ và chỉ sử dụng các DNS đáng tin cậy cho router hoặc hệ điều hành.
Theo The Hacker News