Tấn công DNS nhắm vào các tổ chức tài chính tại Brazil
Radware cho biết, đã theo dõi được hành vi độc hại nhắm vào các bộ định tuyến DSL của D-Link tại Brazil từ ngày 08/6. Tin tặc đang cố gắng sửa đổi thiết lập máy chủ DNS trong các bộ định tuyến tại Brazil bằng cách sử dụng một phương pháp khai thác từ năm 2015. Phương pháp khai thác này có thể thực hiện trên một số loại thiết bị DSL của D-Link. Tin tặc chỉ cần tìm trực tuyến các bộ định tuyến dễ bị tấn công và thay đổi thiết lập DNS của chúng. Các chuyên gia nhấn mạnh rằng, tấn công có thể được thực hiện mà không cần bất kỳ tương tác nào của người dùng.
Tin tặc thay đổi cách thiết lập DNS để chuyển hướng các thiết bị mạng đến các máy chủ DNS mà chúng kiểm soát. Các nhà nghiên cứu đã phát hiện hai máy chủ DNS lừa đảo được thực hiện trong chiến dịch tấn công này có địa chỉ IP 69.162.89.185 và 198.50.222.136. Hai máy chủ DNS này phân giải tên miền địa chỉ của các ngân hàng Banco de Brasil (www.bb.com.br) và Itau Unibanco (www.itau.com.br) sang địa chỉ giả mạo.
Cuộc tấn công diễn ra trong khi người dùng hoàn toàn không biết về sự thay đổi cài đặt trong bộ định tuyến. Tấn công này không cần tạo mới hoặc thay đổi URL trong trình duyệt của người dùng. Người dùng vẫn có thể sử dụng các trình duyệt với các phím tắt một cách bình thường, có thể nhập URL thủ công hoặc thậm chí sử dụng URL từ thiết bị di động như điện thoại thông minh hoặc máy tính bảng. Tuy nhiên, người dùng vẫn sẽ bị chuyển hướng đến trang web độc hại thay vì trang web hợp lệ được yêu cầu, bởi tấn công này sẽ thay đổi địa chỉ ở cổng kết nối chứ không phải tại địa chỉ mà người dùng sử dụng.
Các chiến dịch lừa đảo với URL được tạo thủ công và chiến dịch quảng cáo độc hại thay đổi cấu hình DNS trong trình duyệt của người dùng không phải các phương thức tấn công mới. Các kỹ thuật tấn công tương tự đã được sử dụng từ năm 2014. Năm 2016, một công cụ khai thác có tên RouterHunterBr 2.0 đã được công bố với việc sử dụng cùng một địa chỉ URL độc hại với tấn công lần này, nhưng hiện tại Radware chưa biết liệu đây có phải là bắt nguồn của tấn công lần này hay không. Radware đã theo dõi và ghi lại việc lây nhiễm cho một bộ định tuyến DSL D-Link cũ từ ngày 12/6/2018 URL độc hại được sử dụng trong chiến dịch xuất hiện dưới dạng:
- Shuttle Tech ADSL Modem-Router 915 WM / Thay đổi DNS từ xa chưa được xác thực. Khai thác http://www.exploit-db.com/exploits/35995/
- D-Link DSL-2740R / Khai thác thay đổi DNS từ xa chưa được xác thực http://www.exploit-db.com/exploits/35917/
- D-Link DSL-2640B Khai thác thay đổi DNS từ xa chưa được xác thực https://www.exploit-db.com/exploits/37237/
- D-Link DSL-2780B DLink_1.01.14 - Thay đổi DNS từ xa chưa được xác thực https://www.exploit-db.com/exploits/37237/
- D-Link DSL-2730B AU_2.01 - Thay đổi DNS bỏ qua xác thực https://www.exploit-db.com/exploits/37240/
- D-Link DSL-526B ADSL2 + AU_2.01 - Thay đổi DNS từ xa chưa được xác thực https://www.exploit-db.com/exploits/37241/
Khi nạn nhân truy cập vào các trang web giả mạo, họ sẽ được yêu cầu cung cấp các thông tin đăng nhập của tài khoản ngân hàng. Các chuyên gia nhận thấy, các trang web lừa đảo được sử dụng trong chiến dịch này được gắn cờ là không an toàn trong thanh địa chỉ URL. Hiện tại, Radware đã báo cáo chiến dịch này cho các tổ chức tài chính bị nhắm vào và các trang web giả mạo đã bị gỡ khỏi Internet.
Để phòng tránh tấn công này, người dùng cần kiểm tra máy chủ DNS của các thiết bị và bộ định tuyến đang sử dụng thông qua các trang web như http://www.whatsmydnsserver.com/.
Chỉ modem và bộ định tuyến không được cập nhật trong hai năm qua mới có thể bị tấn công. Do đó, việc kiểm tra thông tin và cập nhật kịp thời sẽ giúp người dùng tránh được cuộc tấn công này.
Nhật Minh (theo Tạp chí CyberDefense)