- Các chuyên gia bảo mật vừa khám phá một vụ tấn công website có quy mô rất lớn. Đã có ít nhất 10.000 website bị tin tặc cướp tên miền hoặc đoạt quyền kiểm soát biến thành công cụ giúp chúng tấn công người dùng Internet.

Ngày thứ hai tuần trước (13-1), Mary Landesman - chuyên gia nghiên cứu cao cấp của hãng bảo mật ScanSafe Inc. - cho biết đã phát hiện hàng trăm website đã “lọt” vào tay tin tặc trở thành “tay sai” giúp chúng phát tán mã độc. Ngày 18-1, Don Jackson - chuyên gia nghiên cứu bảo mật của SecureWorks Inc - khẳng định con số website bị tấn công lớn hơn rất nhiều.

Số liệu thống kê của ScanSafe đã xác thực nhận định của Jackson. Xấp xỉ 10.000 website hợp pháp đã trở thành “nạn nhân” trong một loạt các vụ tấn công của tin tặc. Hầu hết trong số này đều là các hệ thống website chạy trên nền tảng máy chủ Linux sử dụng phần mềm máy chủ web mã nguồn mở Apache.

Sau khi đoạt được quyền kiểm soát máy chủ website tin tặc cài lên đây một số tệp tin có chức năng tạo ra các đoạn mã JavaScript độc hại. Nếu người dùng truy cập vào các website lưu trên máy chủ này mã JavaScript độc hại sẽ vận hành và gọi ra một loạt mã khai thác tấn công các lỗi bảo mật phần mềm QuickTime, Yahoo Messenger, Windows MDAC …

Nếu PC người dùng chưa được cài đặt đầy đủ các bản sửa lỗi, mã khai thác sẽ mở đường cho biến thể mới nhất Rbot Trojan đột nhập vào hệ thống. Chức năng chính của con Trojan này là biến PC bị lây nhiễm trở thành một phần trong hệ thống mạng PC ma - hay còn gọi là PC bị nhiễm mã độc và bị tin tặc điều khiển từ xa.

Các chuyên gia bảo mật hiện vẫn chưa xác định chính xác phương thức tấn công của tin tặc. Song các bằng chứng có được đều cho thấy tin tặc đã có được thông tin đăng nhập tài khoản quản trị máy chủ website, cho phép chúng thoải mái ra vào máy chủ mà không phải vất vả khai thác lỗi bảo mật.

Chuyên gia Jackson cho rằng các máy chủ website trước đó cũng đã bị nhiễm một loại mã độc nào đó. Thậm trí có một số máy chủ đã được “làm sạch” bằng cách cài đặt lại nhưng vẫn không thoát khỏi bàn tay của tin tặc.

“Tất cả những gì mà chúng tôi có được hiện nay đều chứng minh rất rõ ràng, các vụ tấn công đều được thực hiện thông qua hình thức đánh cắp thông tin đăng nhập tài khoản quản trị,” chuyên gia Landesman chia sẻ cùng một quan điểm với Jackson. “Theo quan điểm riêng của tôi, việc mất thông tin đăng nhập tài khoản quản trị website bắt nguồn từ một số hãng cung cấp dịch vụ lưu trữ website lớn”.

Không thể khắc phục nhanh

Chuyên gia Jackson cho rằng hậu quả của vụ tấn công lần này khó có thể khắc phục trong một sớm một chiều bởi hiểu biết về máy chủ Apache của các nhà quản trị website còn tương đối hạn chế. Đặc biệt là hiểu biết về tính năng “dynamic module loading” - tính năng đã bị tin tặc lợi dụng để tổ chức các vụ tấn công lần này.

Các nhà quản trị website nên nhanh chóng đổi mật khẩu tài khoản quản trị. “Tôi khuyến cáo nên thay đổi mọi mật khẩu không riêng gì mật khẩu FTP hoặc Cpanel. Đã có bằng chứng cho thấy ngoài hai mật khẩu quan trọng trên, các mật khẩu các cũng bị tin tặc lợi dụng để đột nhập website. Ngoài ra các nhà quản trị cũng nên vô hiệu hoá tính năng “dynamic module loading” trong cấu hình máy chủ Apache”.

Trong khi đó, người dùng Internet được khuyến cáo nên nhanh chóng tải về và cài đặt đầy đủ các bản cập nhật sửa lỗi phần mềm cũng như cập nhật phần mềm bảo mật trên hệ thống.

T.DŨNG (Computerworld)

(Theo TTO)