Để đánh cắp mật khẩu, một nhóm tin tặc được nhà nước bảo trợ đã vượt ra ngoài việc sử dụng phần mềm độc hại và tấn công lừa đảo đơn giản; chúng can thiệp vào "danh bạ điện thoại của internet", hay chính là Hệ thống phân giải tên miền (Domain Name System-DNS), để chuyển hướng người dùng tới một trang web trông gần giống trang web thật, từ đó đánh cắp thông tin đăng nhập của nạn nhân.
Theo nghiên cứu từ nhóm bảo mật Talos của Cisco, trong nhiều tháng nay các tin tặc bí ẩn đã xâm nhập vào các công ty điều hành DNS bao gồm các nhà cung cấp dịch vụ internet và các tổ chức lưu trữ web. Một trong các công ty bị tấn công là công ty Netnod của Thụy Điển, công ty quản lý một trong 13 máy chủ phân giải tên miền gốc trên toàn thế giới.
Quyền truy cập mà tin tặc có thực sự là đáng sợ. Hệ thống DNS hoạt động bằng cách phân giải các tra cứu trang web thành địa chỉ IP mà trình duyệt của bạn cần để truy cập đến trang web đích. Vậy điều gì sẽ xảy ra nếu bạn can thiệp vào quá trình này? Câu trả lời là bạn sẽ có khả năng gửi lưu lượng truy cập đến một địa chỉ IP hoàn toàn khác - bao gồm cả những trang web được kiểm soát bởi hacker.
Mối đe dọa của việc chiếm quyền kiểm soát DNS đã được biết đến trong nhiều năm. Tuy nhiên, chuỗi các cuộc tấn công gần đây vào DNS đã khiến nhóm bảo mật Talos đặc biệt lo lắng. Đặc biệt, các cuộc tấn công có thể đến từ một nhóm hacker chuyên nghiệp được chính phủ hỗ trợ. Các nỗ lực chiếm quyền điều khiển DNS dường như không có xu hướng giảm.
Tổng cộng, các tin tặc đã xâm phạm thành công ít nhất 40 tổ chức ở 13 quốc gia khác nhau, nhóm bảo mật Talos cho biết trong một báo cáo.
DNS là một công nghệ nền tảng hỗ trợ Internet. Thao túng hệ thống đó có khả năng làm suy yếu niềm tin của người dùng trên internet, các nhà nghiên cứu cho biết trong báo cáo. Các quốc gia có trách nhiệm nên tránh nhắm mục vào tiêu hệ thống này.
Tính từ tháng 1 năm 2017, các cuộc tấn công chủ yếu là đánh vào các công chức và văn phòng chính phủ, bao gồm cả các cơ quan quân sự và tình báo nằm ở Trung Đông và Bắc Phi.
Nhưng mối lo ngại lớn ở đây là các nhóm hacker khác do nhà nước bảo trợ sẽ dùng các chiến thuật tương tự và tập trung vào việc giả mạo DNS để thực hiện các cuộc tấn công của mình. Hầu hết các sản phẩm bảo mật không được thiết kế để chống lại các cuộc tấn công chiếm đoạt DNS như vậy, nhóm bảo mật Talos cho biết. Do đó, các nhà nghiên cứu bảo mật đang kêu gọi chính phủ trên toàn thế giới hành động và thiết lập các tiêu chuẩn để bảo vệ các bản ghi DNS.
Để bắt đầu các cuộc tấn công, nhóm hacker bí ẩn có thể đã sử dụng kết hợp các lỗ hổng phần mềm và email lừa đảo để phá vỡ sự bảo mật của các công ty quản lý DNS. Sau đó, chúng sẽ tập trung vào việc cố gắng tìm thông tin đăng nhập cho phép chúng sửa đổi các bản ghi DNS, từ đó tạm thời chuyển hướng lưu lượng truy cập đến một trang web do chúng kiểm soát.
Các nhà nghiên cứu của Talos cho biết: "Khoảng thời gian mà bản ghi DNS từ khi bị nhắm mục tiêu cho đến lúc bị tấn công có thể dao động từ vài phút đến vài ngày. Loại xâm phạm này có thể cung cấp cho kẻ tấn công khả năng chuyển hướng bất kỳ nạn nhân nào truy vấn tên miền cụ thể đó trên toàn thế giới."
Các trang web do hacker kiểm soát được thiết kế để giả mạo tên miền hợp pháp của các cơ quan chính phủ khác nhau. Các trang web này thậm chí còn sử dụng những chứng chỉ phần mềm để hiển thị khóa SSL trong thanh địa chỉ trình duyệt. Ngoài ra, tin tặc cũng sử dụng các kỹ thuật để mạo danh các ứng dụng VPN để thu thập thông tin đăng nhập của nạn nhân.
Các nhà nghiên cứu Talos đã không nêu cụ thể tên quốc gia nào có thể đứng đằng sau các cuộc tấn công này nhưng các công ty an ninh mạng khác nghi ngờ rằng chúng có thể có mối liên hệ với Iran.
Để ngăn chặn mối đe dọa này, các nhà nghiên cứu Talos khuyên các tổ chức nên cân nhắc sử dụng dịch vụ khóa tên miền. Nó sẽ gửi thông báo khi có thay đổi đối với bản ghi DNS của họ. Nếu công ty quản lý tên miền của bạn không cung cấp dịch vụ khóa tên miền, bạn nên triển khai xác thực đa yếu tố... đối với việc truy cập vào hồ sơ DNS trong tổ chức của bạn.