Trung tâm Ứng cứu khẩn cấp không gian mạng quốc gia Trung Quốc (CNCERT) đã phát đi cảnh báo về tình trạng nhiều router gia đình bị tin tặc chỉnh sửa cấu hình DNS, khiến người dùng khi truy cập các website bình thường có thể bất ngờ bị chuyển hướng sang các trang cờ bạc, nội dung khiêu *** hoặc website lừa đảo.
Theo CNCERT, sự cố đang ảnh hưởng đến nhiều người dùng mạng gia đình và được đánh giá là mối đe dọa nghiêm trọng đối với an toàn Internet cũng như bảo mật thông tin cá nhân.
Theo CNCERT, sự cố đang ảnh hưởng đến nhiều người dùng mạng gia đình và được đánh giá là mối đe dọa nghiêm trọng đối với an toàn Internet cũng như bảo mật thông tin cá nhân.
DNS bị sửa đổi, người dùng truy cập web bình thường vẫn có thể bị điều hướng sang trang độc hại
Router là “cửa ngõ” kết nối Internet của mạng gia đình. Khi cấu hình DNS trên router bị thay đổi trái phép, điện thoại, máy tính hoặc các thiết bị kết nối WiFi sẽ tự động nhận địa chỉ DNS độc hại. Điều này khiến việc truy cập các website bình thường bị phân giải sai địa chỉ và dẫn người dùng tới các trang web cờ bạc, nội dung khiêu ***, quảng cáo độc hại hoặc các website giả mạo nhằm đánh cắp tài khoản.
Internet
Theo cơ quan này, nhiều trường hợp người dùng chỉ phát hiện bất thường khi vừa kết nối WiFi gia đình đã liên tục bị bật các cửa sổ quảng cáo hoặc tự động chuyển sang các trang lạ dù không chủ động truy cập.
Tin tặc lợi dụng mật khẩu yếu để chiếm quyền router
Kết quả điều tra cho thấy nhiều router bị ảnh hưởng sử dụng mật khẩu quản trị quá yếu như “123456”, ngày sinh hoặc số điện thoại. CNCERT nhận định kẻ tấn công có thể đã xâm nhập vào các thiết bị trong mạng nội bộ trước, sau đó sử dụng mật khẩu yếu để đăng nhập vào trang quản trị router và chỉnh sửa cấu hình DNS.
Theo mô tả, DNS hoạt động giống như “biển chỉ đường” của Internet, giúp chuyển tên miền thành địa chỉ IP thực tế. Khi hệ thống này bị sửa đổi, người dùng dù nhập đúng địa chỉ website vẫn có thể bị chuyển tới máy chủ do kẻ xấu kiểm soát.
Theo mô tả, DNS hoạt động giống như “biển chỉ đường” của Internet, giúp chuyển tên miền thành địa chỉ IP thực tế. Khi hệ thống này bị sửa đổi, người dùng dù nhập đúng địa chỉ website vẫn có thể bị chuyển tới máy chủ do kẻ xấu kiểm soát.
Hàng trăm triệu lượt truy vấn độc hại mỗi ngày
CNCERT cho biết đã phát hiện hàng chục máy chủ DNS độc hại chuyên cung cấp dịch vụ phân giải tên miền bất hợp pháp và điều hướng người dùng sang các website độc hại.
Hệ thống giám sát của cơ quan này ghi nhận số lượt phân giải độc hại mỗi ngày đã vượt hàng trăm triệu lần, với số lượng IP bị ảnh hưởng trong lãnh thổ Trung Quốc có thời điểm vượt 700.000 địa chỉ IP chỉ trong một ngày.
Thông tin này nhanh chóng thu hút sự chú ý trên các diễn đàn công nghệ và an ninh mạng. Nhiều ý kiến cho rằng người dùng thường chỉ quan tâm bảo vệ điện thoại hoặc máy tính mà quên mất router WiFi cũng là một thiết bị mạng có thể bị tấn công.
Một số chuyên gia nhận định đây là kiểu tấn công nguy hiểm vì nạn nhân rất khó phát hiện. Ngay cả khi thiết bị không cài mã độc, toàn bộ lưu lượng Internet vẫn có thể bị điều hướng bởi router đã bị chiếm quyền kiểm soát.
Hệ thống giám sát của cơ quan này ghi nhận số lượt phân giải độc hại mỗi ngày đã vượt hàng trăm triệu lần, với số lượng IP bị ảnh hưởng trong lãnh thổ Trung Quốc có thời điểm vượt 700.000 địa chỉ IP chỉ trong một ngày.
Thông tin này nhanh chóng thu hút sự chú ý trên các diễn đàn công nghệ và an ninh mạng. Nhiều ý kiến cho rằng người dùng thường chỉ quan tâm bảo vệ điện thoại hoặc máy tính mà quên mất router WiFi cũng là một thiết bị mạng có thể bị tấn công.
Một số chuyên gia nhận định đây là kiểu tấn công nguy hiểm vì nạn nhân rất khó phát hiện. Ngay cả khi thiết bị không cài mã độc, toàn bộ lưu lượng Internet vẫn có thể bị điều hướng bởi router đã bị chiếm quyền kiểm soát.
Dấu hiệu nhận biết router có thể đã bị tấn công
CNCERT khuyến cáo người dùng cần kiểm tra router nếu xuất hiện các dấu hiệu như:
• Truy cập website bình thường nhưng bị chuyển sang trang cờ bạc, quảng cáo hoặc website lạ
• Nhiều thiết bị dùng cùng WiFi gặp hiện tượng giống nhau
• Mạng Internet chậm bất thường hoặc router thường xuyên tự khởi động lại
• Cấu hình WiFi hoặc mật khẩu router bị thay đổi mà người dùng không thực hiện
• DNS trên router xuất hiện các địa chỉ IP lạ không phải DNS của nhà mạng hoặc dịch vụ uy tín
• Truy cập website bình thường nhưng bị chuyển sang trang cờ bạc, quảng cáo hoặc website lạ
• Nhiều thiết bị dùng cùng WiFi gặp hiện tượng giống nhau
• Mạng Internet chậm bất thường hoặc router thường xuyên tự khởi động lại
• Cấu hình WiFi hoặc mật khẩu router bị thay đổi mà người dùng không thực hiện
• DNS trên router xuất hiện các địa chỉ IP lạ không phải DNS của nhà mạng hoặc dịch vụ uy tín
Khuyến nghị bảo mật
Để giảm nguy cơ bị tấn công, CNCERT khuyến nghị người dùng:
• Đổi ngay mật khẩu mặc định hoặc mật khẩu yếu của router
• Kiểm tra cấu hình DNS trong phần quản trị router
• Tắt các tính năng không cần thiết như quản lý từ xa, UPnP hoặc chuyển tiếp cổng
• Cập nhật firmware mới nhất cho router
• Kiểm tra thiết bị khi xuất hiện hiện tượng chuyển hướng website bất thường
• Khôi phục cài đặt gốc và cấu hình lại router nếu nghi ngờ đã bị xâm nhập
Ngoài ra, các nhà sản xuất router vẫn nên tăng cường cơ chế cảnh báo DNS bất thường, bảo vệ đăng nhập quản trị và vá lỗi bảo mật để hạn chế nguy cơ thiết bị bị chiếm quyền.
• Đổi ngay mật khẩu mặc định hoặc mật khẩu yếu của router
• Kiểm tra cấu hình DNS trong phần quản trị router
• Tắt các tính năng không cần thiết như quản lý từ xa, UPnP hoặc chuyển tiếp cổng
• Cập nhật firmware mới nhất cho router
• Kiểm tra thiết bị khi xuất hiện hiện tượng chuyển hướng website bất thường
• Khôi phục cài đặt gốc và cấu hình lại router nếu nghi ngờ đã bị xâm nhập
Ngoài ra, các nhà sản xuất router vẫn nên tăng cường cơ chế cảnh báo DNS bất thường, bảo vệ đăng nhập quản trị và vá lỗi bảo mật để hạn chế nguy cơ thiết bị bị chiếm quyền.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
