Tin tặc giả mạo chứng thư số để tấn công vào các cơ quan tình báo

Cuộc tấn công mạng vào DigiNotar, một chi nhánh ở Hà Lan của Liên hợp bảo mật dữ liệu quốc tế VASCO, nghiêm trọng hơn nhiều so với những suy nghĩ trước đó. Trong tháng bảy, các tin tặc đã đạt được quyền truy cập vào hệ thống mạng và cơ sở hạ tầng của một số CA của DigiNotar. Một khi đã xâm nhập được vào bên trong, họ sẽ tạo ra hàng trăm chứng chỉ giả mạo về các lĩnh vực của bên thứ ba.

Với các chứng chỉ giả mạo này, các tin tặc có khả năng thu thập tất cả các thông tin đăng nhập của người dùng bằng cách lập một trang web giả mạo, và sử dụng những SSL Certificate (Chứng thư bảo mật số SSL) giả mạo do DigiNotar phát hành.Những chứng chỉ giả mạo này phù hợp với lĩnh vực của Cơ quan Tình báo Trung ương Hoa Kỳ, dịch vụ bí mật Mossad của người Do thái và cơ quan gián điệp MI6 của Anh.

Tiết lộ các lĩnh vực dễ bị tấn công

Danh sách các lĩnh vực bị cấp chứng chỉ giả mạo được công bố vào ngày thứ Bảy bởi Gervase Markham, lập trình viên của Mozilla. Các nguồn tin điều tra việc tấn công vào DigiNotar đã xác nhận với Webwereld danh sách đó là xác thực. Kỹ sư phần mềm Adam Langley của Chrome cũng nói với Webwereld rằng Google có cùng một danh sách như vậy.

Sau đó, đài truyền hình công NOS của Hà Lan đã công bố danh sách đầy đủ của hơn năm mươi lĩnh vực mà chứng chỉ giả mạo đã được ban hành. Trong số đó có Google, Yahoo, Microsoft và Skype, cũng như rất nhiều các trang web phổ biến trong số những người Iran bất đồng chính kiến​​. Những kẻ tấn công mạng thậm chí còn tạo ra các chứng chỉ giả mạo với những thông điệp ca ngợi Revolutionary Guard của Iran (Lực lượng vệ binh cách mạng của Iran), NOS cho biết.

Người ta vẫn chưa biết cách mà các tin tặc đã làm để khai thác thông tin đăng nhập và theo dõi e-mail và tin nhắn chat. Hầu hết các chứng chỉ giả mạo đều bị thu hồi sau khi DigiNotar phát hiện ra các vi phạm vào giữa tháng bảy.

Chris Soghoian, nhà nghiên cứu an ninh và bảo mật tại Đại học Indiana và Graduate Fellow tại Center for Applied Cybersecurity Research, cho biết danh sách này là "một tập hợp thú vị của các trang web". Tuy nhiên, ông nghi ngờ rằng các tin tặc có thể xâm nhập vào mạng lưới của các cơ quan gián điệp với giấy chứng nhận giả mạo.

Cuộc tấn công mạng vào DigiNotar có một hồ sơ rất cao. Điều đáng báo động là họ giả mạo giấy chứng nhận khác của CA, như VeriSign, Thawte. Nhưng đơn giản nhất là các trang web như Google và Facebook. Và cũng có thể là Walla, một trong những nhà cung cấp dịch vụ email lớn nhất ở Israel. "Thông qua chứng thư bảo mật số SSL giả mạo, các tin tặc có thể đánh cắp các tài khoản và thông tin liên lạc trực tuyến của vô số người, Soghoian giải thích.

Các trang web Chặn truy cập

Google đã cập nhật trình duyệt Chrome vì thế nó có thể ngăn chặn truy cập vào bất kỳ trang web nào sử dụng một chứng chỉ DigiNotar. Mozilla và Microsoft dự kiến ​​sẽ sớm phát hành bản vá lỗi cho trình duyệt của họ. Nhóm bảo mật của Microsoft đã tweet trước đó: "Chúng tôi đang trong quá trình di chuyển tất cả các CA của DigiNotar vào Untrusted Root Store. Untrusted Root Store sẽ từ chối truy cập vào bất kỳ trang web nào sử dụng CA của DigiNotar."

Điều này có nghĩa là hàng trăm trang web chính phủ Hà Lan sẽ không thể được truy cập bởi các trình duyệt trong những ngày tới nếu các cơ quan không chuyển sang một công ty phát hành chứng chỉ khác ngay lập tức.

Tuần trước, công ty bảo mật Fox-CNTT của Hà Lan đã thực hiện giám định cuộc tấn công mạng tại DigiNotar. Báo cáo điều tra này sẽ được gửi đến Quốc hội và được công bố vào thứ hai.DigiNotar đã không đưa ra bất kỳ lời bình luận nào về việc này.

Thùy Linh