Người dùng internet thường tin tưởng vào bộ định tuyến của mình để điều hướng lưu lượng truy cập chính xác, mà không nghi ngờ rằng chính các tín hiệu định tuyến trên web có thể bị thao túng. Một mạng lưới “bóng tối” tinh vi đã và đang âm thầm chiếm quyền điều khiển các kết nối internet tại nhà bằng cách xâm nhập các bộ định tuyến dễ bị tổn thương và thay đổi cấu hình DNS của chúng. Đây là một hình thức tấn công mạng nguy hiểm, ảnh hưởng trực tiếp đến trải nghiệm và bảo mật của người dùng.
Cơ Chế Hoạt Động Của Cuộc Tấn Công DNS Hijacking
Thay vì sử dụng các máy chủ hợp pháp của Nhà cung cấp dịch vụ, các thiết bị bị lây nhiễm này chuyển tất cả các truy vấn lưu lượng truy cập web đến các trình phân giải độc hại. Các trình phân giải này được đặt tại Aeza International, một công ty hosting “bulletproof” được biết đến với việc lưu trữ các hoạt động độc hại.
Việc chuyển hướng thầm lặng này cho phép các tác nhân đe dọa thao túng một cách chọn lọc các trang web mà người dùng có thể truy cập. Mục tiêu thường là hướng họ đến các nền tảng quảng cáo lừa đảo hoặc các chiêu trò lừa đảo độc hại.
Các trang web phổ biến như Google thường được phân giải đúng cách để tránh gây nghi ngờ. Tuy nhiên, các mục tiêu cụ thể sẽ kích hoạt một chuỗi chuyển hướng phức tạp.
Điều này liên quan đến một Hệ thống Phân phối Lưu lượng Truy cập (TDS) dựa trên HTTP thứ cấp. TDS này sẽ lấy dấu vân tay thiết bị của nạn nhân trước khi phân phối payload cuối cùng.
Phát Hiện Và Phân Tích Mối Đe Dọa Mạng
Các nhà phân tích của Infoblox đã xác định chiến dịch lan rộng này sau khi kết nối các báo cáo phân tán của người dùng về hành vi internet “bất thường” với các mẫu DNS dị thường.
Họ quan sát thấy rằng các tác nhân đe dọa chủ yếu nhắm mục tiêu vào các mẫu bộ định tuyến cũ hơn. Việc này làm thay đổi cơ bản chuỗi tin cậy cho mọi thiết bị trong mạng gia đình. Để biết thêm chi tiết về phân tích này, bạn có thể tham khảo báo cáo của Infoblox tại Compromised Routers, DNS, and a TDS Hidden in Aeza Networks.
Các nạn nhân đã báo cáo các vấn đề kỳ lạ như không thể truy cập Google Sheets hoặc các chuyển hướng trình duyệt liên tục. Họ thường cho rằng máy tính của mình, chứ không phải bộ định tuyến, là nguyên nhân gây ra lỗi.
Kỹ Thuật Né Tránh Tinh Vi EDNS0 Trong Xâm Nhập Mạng
Một trong những khía cạnh kỹ thuật hấp dẫn nhất của chiến dịch xâm nhập mạng này là phương pháp né tránh tinh vi của nó. Các nhà phân tích bảo mật ban đầu đã gặp khó khăn trong việc tái tạo các phản hồi DNS độc hại.
Lý do là các máy chủ rogue sẽ không trả lời các truy vấn tiêu chuẩn. Bước đột phá xảy ra khi các nhà phân tích phát hiện ra rằng các trình phân giải “bóng tối” này chỉ phản hồi nếu giao thức Extension Mechanisms for DNS (EDNS0) bị tắt một cách rõ ràng.
EDNS0 là một phần mở rộng giao thức tiêu chuẩn được hầu hết các trình phân giải hợp pháp hiện đại sử dụng. Nó giúp xử lý các kích thước gói lớn hơn và các tính năng bảo mật. Do đó, các công cụ quét bảo mật tiêu chuẩn tự động bao gồm nó.
Bằng cách cấu hình máy chủ của mình bỏ qua các truy vấn tiêu chuẩn này, những kẻ tấn công đã làm cho cơ sở hạ tầng của chúng trở nên vô hình đối với các công cụ quét tự động và hầu hết các nhà nghiên cứu bảo mật.
Bộ lọc đơn giản nhưng hiệu quả này đã cho phép mạng độc hại hoạt động không bị phát hiện trong nhiều năm. Nó cung cấp các địa chỉ IP chính xác cho các nhà nghiên cứu, trong khi vẫn phân phối các phản hồi bị chiếm đoạt cho các nạn nhân thực sự sử dụng thiết bị cũ hơn, không tuân thủ hoặc các cấu hình cụ thể.
Chỉ Số Thỏa Hiệp (IOCs) và Đối Tượng Mục Tiêu
Dựa trên phân tích, các chỉ số thỏa hiệp chính bao gồm:
- Trình phân giải DNS độc hại: Các máy chủ DNS do Aeza International lưu trữ, được cấu hình để thực hiện chuyển hướng.
- Phương pháp né tránh: Hệ thống được cấu hình để không phản hồi các truy vấn DNS có bật EDNS0.
Đối tượng mục tiêu của chiến dịch tấn công mạng này chủ yếu là các:
- Mẫu bộ định tuyến cũ: Các thiết bị không còn nhận được bản vá bảo mật.
- Người dùng có cấu hình đặc biệt: Những người vô tình hoặc cố ý tắt các tính năng DNS hiện đại như EDNS0.
Biện Pháp Phòng Ngừa và Tăng Cường An Ninh Mạng
Để giảm thiểu mối đe dọa này, người dùng phải kiểm tra kỹ lưỡng cấu hình bộ định tuyến để tìm cài đặt DNS trái phép. Đây là một bước quan trọng để đảm bảo an ninh mạng gia đình.
Cập nhật firmware bộ định tuyến lên phiên bản mới nhất là điều tối quan trọng. Ngoài ra, việc thay thế phần cứng lỗi thời không còn nhận được các bản vá bảo mật là cần thiết để ngăn chặn sự xâm nhập ban đầu. Việc này góp phần củng cố khả năng phòng thủ tổng thể trước các cuộc tấn công tương tự.
Kiểm Tra Cấu Hình DNS Của Bộ Định Tuyến (Ví dụ lệnh CLI)
Tùy thuộc vào nhà sản xuất bộ định tuyến, việc truy cập giao diện CLI có thể khác nhau. Dưới đây là ví dụ chung về cách kiểm tra cài đặt DNS thông qua CLI trên một số thiết bị:
# Đối với các bộ định tuyến dựa trên Linux (OpenWrt/DD-WRT)
ssh root@<router_ip_address>
cat /etc/resolv.conf
uci show network | grep dns
# Đối với một số bộ định tuyến Cisco hoặc tương tự
enable
show running-config | include dns
Nếu phát hiện bất kỳ địa chỉ DNS nào không phải của nhà cung cấp dịch vụ Internet (ISP) hợp pháp hoặc địa chỉ đáng ngờ, hãy thay đổi chúng ngay lập tức. Đặt lại về cài đặt mặc định của ISP hoặc sử dụng các dịch vụ DNS công cộng uy tín như 1.1.1.1 (Cloudflare) hoặc 8.8.8.8 (Google).
Lập Lịch Cập Nhật Bản Vá Thường Xuyên
Thiết lập thói quen kiểm tra và cập nhật bản vá bảo mật cho firmware bộ định tuyến của bạn. Nhiều nhà sản xuất cung cấp các bản cập nhật định kỳ để khắc phục các lỗ hổng đã biết.
Nếu bộ định tuyến của bạn đã quá cũ và không còn nhận được sự hỗ trợ từ nhà sản xuất, hãy cân nhắc nâng cấp lên một mẫu mới hơn. Các thiết bị hiện đại thường có các tính năng bảo mật tốt hơn và nhận được các bản cập nhật thường xuyên hơn.
