Chiến dịch DNS Hijacking nhắm vào người dùng Gmail, PayPal, Netflix

Chiến dịch DNS Hijacking nhắm vào người dùng Gmail, PayPal, Netflix

April 9, 2019 | vietsunshine

DNS hijacking hoặc chuyển hướng DNS là việc phá vỡ sự phân giải của các truy vấn hệ thống tên miền (DNS).

Chiến dịch DNS hijacking đang diễn ra trong ba tháng qua đang nhắm mục tiêu đến người dùng các dịch vụ trực tuyến phổ biến, bao gồm Gmail, PayPal và Netflix.

Là một phần của chiến dịch, những kẻ tấn công đã xâm phạm các bộ định tuyến của người tiêu dùng để sửa đổi cài đặt DNS của họ và chuyển hướng người dùng đến các trang web lừa đảo để đánh cắp thông tin đăng nhập của họ.

Các nhà nghiên cứu bảo mật Bad Packets, những người đã theo dõi các cuộc tấn công kể từ tháng 12, đã xác định bốn máy chủ DNS lừa đảo riêng biệt đang được sử dụng để chuyển hướng lưu lượng truy cập web cho mục đích xấu.

Tất cả các nỗ lực khai thác đã bắt nguồn từ các máy chủ lưu trữ trên mạng của Google Cloud Platform (AS15169), các nhà nghiên cứu tiết lộ.

DNS hijacking đầu tiên khai thác các modem DSL D-Link được nhắm mục tiêu như D-Link DSL-2640B, DSL-2740R, DSL-2780B và DSL-526B. Máy chủ DNS giả mạo được sử dụng trong cuộc tấn công này được lưu trữ bởi OVH Canada (địa chỉ IP 66.70.173.48).

Làn sóng thứ hai nhắm vào cùng loại modem D-Link, nhưng máy chủ DNS giả mạo có địa chỉ IP khác, 144.217.191.145 (cũng được lưu trữ bởi OVH Canada).

Hầu hết các yêu cầu DNS đã được chuyển hướng đến hai IP được phân bổ cho nhà cung cấp dịch vụ lưu trữ thân thiện với tội phạm (AS206349) và một yêu cầu khác chỉ ra một dịch vụ kiếm tiền từ các tên miền chưa sử dụng (AS395082).

Làn sóng tấn công thứ ba nhắm vào số lượng lớn hơn các bộ định tuyến người tiêu dùng, bao gồm bộ định tuyến ADSL ARG-W4, bộ định tuyến DSLink 260E, bộ định tuyến Secutech và bộ định tuyến TOTOLINK.

Các cuộc tấn công đến từ ba máy chủ Google Cloud Platform khác nhau và hai máy chủ DNS lừa đảo đã được sử dụng, cả hai được lưu trữ tại Nga bởi Inoventica Services (195.128.126.165 và 195.128.124.131).

Trong tất cả các cuộc tấn công, các nhà khai thác đã thực hiện quét lại ban đầu bằng Masscan để kiểm tra các máy chủ hoạt động trên cổng 81/TCP và chỉ sau đó mới khởi chạy các khai thác chiếm quyền điều khiển DNS.

Chiến dịch này nhằm đưa người dùng Gmail, PayPal, Netflix, Uber và một số ngân hàng Brazil vào các tên miền lừa đảo và lừa họ tiết lộ tên người dùng và mật khẩu của họ, Stefan Tanase, Nhà nghiên cứu bảo mật chính tại Ixia, nói.

Các nhà nghiên cứu bảo mật đã tìm thấy hơn 16.500 bộ định tuyến dễ bị tấn công có khả năng tiếp xúc với chiến dịch chiếm quyền điều khiển DNS này.

Những kẻ tấn công đã lạm dụng nền tảng Đám mây của Google cho các cuộc tấn công này chủ yếu vì mọi người có tài khoản Google đều dễ dàng truy cập vào Google Cloud Shell, một dịch vụ cung cấp cho người dùng một loại tương đương với VPS Linux có quyền root trực tiếp trong trình duyệt web , Các nhà nghiên cứu giải thích.

Udate: Tuyên bố mới nhất của Google về việc này: “Chúng tôi đã đình chỉ các tài khoản lừa đảo đang được đề cập và đang làm việc thông qua các giao thức được thiết lập để xác định bất kỳ giao thức mới nào xuất hiện. Chúng tôi có các quy trình để phát hiện và xóa các tài khoản vi phạm các điều khoản dịch vụ và chính sách sử dụng được chấp nhận của chúng tôi và chúng tôi có hành động đối với các tài khoản khi chúng tôi phát hiện hành vi lạm dụng, bao gồm cả việc đình chỉ các tài khoản bị nghi vấn. Những sự cố này nêu bật tầm quan trọng của việc thực hành vệ sinh bảo mật tốt, bao gồm vá phần mềm bộ định tuyến một khi có bản sửa lỗi.”

Nguồn: Ongoing DNS Hijacking Campaign Targets Gmail, PayPal, Netflix Users

Xem thêm: DNS-Hijacking Malware nhắm đến người dùng iOS, Android, Desktop trên toàn cầu

Truy cập internet nhanh hơn, an toàn hơn với DNS 1.1.1.1

Lỗ hổng zero-day trong router TP-Link SR20 cho phép hacker thực thi lệnh

Tags: ,