Theo chuyên gia an ninh mạng, chỉ trong vòng 10 phút tìm kiếm đã có 44 website .gov.vn và .edu.vn bị tấn công deface kiểu mới, gồm website của một số sở, cục, trung tâm thuộc Bộ LĐ-TB-XH, Bộ GD-ĐT, một số sở, chi cục cấp tỉnh, thành phố…
Theo ông Ngô Tuấn Anh, Tổng giám đốc Công ty An ninh mạng SCS, giải thích: “Việc một số website của cơ quan nhà nước với đuôi .gov.vn bị chèn các link quảng cáo được gọi là backlink, có nghĩa là những kẻ xấu lợi dụng lỗ hổng của các website này để đưa vào các đường link quảng cáo. Các đường link này không được nhìn thấy bằng mắt thường nhưng lại được các hệ thống, công cụ như Google có thể tìm ra”. Như vậy, khi một địa chỉ trang web được gắn lên website uy tín của cơ quan nhà nước thì các trang web đó sẽ được thứ hạng cao, phục vụ cho việc nâng cao thứ hạng tìm kiếm của các website độc hại, các trang web cờ bạc.
Tuy nhiên, hiện trạng trên không phải là hoàn toàn mới mà thực tế đã xuất hiện rất nhiều trong thời gian qua tại nhiều website cơ quan nhà nước cấp bộ, ban, ngành, địa phương, bản chất là tấn công mạng deface kiểu mới. Điều này cho thấy việc bảo mật website, nhất là website của khối các cơ quan nhà nước có tên miền tận cùng bằng .gov.vn hoặc edu.vn vẫn còn nhiều bất cập.
Thêm vào đó, thông thường một công ty sẽ làm cho nhiều tỉnh, huyện sử dụng mã nguồn giống nhau nên lỗ hổng giống nhau. Vì vậy, hacker lợi dụng những lỗ hổng này tấn công hàng loạt, chèn các link quảng cáo game cờ bạc. Sở dĩ các hacker chèn link quảng cáo cờ bạc vì Google ưu tiên tìm kiếm các website có tên miền .gov.vn.
Trung tâm Giám sát an toàn không gian mạng Quốc gia, Cục An toàn (Bộ TT&TT) thông tin, hiện vẫn tồn tại nhiều website cơ quan nhà nước bị lợi dụng để tải lên số lượng lớn tệp tin (file) có nội dung độc hại, không phù hợp như game bài, cờ bạc… Những file này xuất hiện trong kết quả tìm kiếm của Google và chuyển hướng người dùng sang website khác khi họ truy cập đường dẫn (link). Điều này sẽ trở nên nguy hiểm và nghiêm trọng nếu bị các đối tượng lợi dụng để đăng tải, phát tán những nội dung xấu độc, xuyên tạc về chủ quyền, chủ trương của Đảng, chính sách, pháp luật của Nhà nước.
Website của Cục Thống kê tỉnh Bắc Giang bị tấn công deface để quảng cáo cá độ bóng đá. Ảnh minh họa
Deface là tấn công thay đổi giao diện, nội dung website của nạn nhân. Bình thường, hacker mũ trắng (tin tặc có đạo đức) tấn công deface để cảnh báo quản trị viên rằng website đang tồn tại lỗ hổng bảo mật. Trong khi đó, hacker mũ đen tấn công deface để khoe khoang thành tích, chứng tỏ “ta đây ra gì phết”, hoặc để xúc phạm, lăng mạ nạn nhân, hoặc phục vụ các mục đích xấu khác liên quan chính trị, tôn giáo…
Gần đây, hacker tấn công các website của cơ quan nhà nước để tạo backlink tới các trang web cần tăng thứ hạng trong kết quả tìm kiếm của Google, hoặc đặt quảng cáo cho các trang web “đen”, web “bẩn” rồi kiếm tiền qua tiếp thị liên kết.
Cách nhận biết và phòng chống website bị tấn công
Theo chuyên gia an ninh mạng, chỉ trong vòng 10 phút tìm kiếm đã có 44 website .gov.vn và .edu.vn bị tấn công deface kiểu mới, gồm website của một số sở, cục, trung tâm thuộc Bộ LĐ-TB-XH, Bộ GD-ĐT, một số sở, chi cục thuộc tỉnh, thành phố, trường đại học, UBND một số huyện, thị trấn ở cả 3 miền Bắc-Trung-Nam.
Theo chuyên giao an ninh mạng, thông thường, các mục tiêu của tấn công deface thường là các tệp tin web mặc định như index.php, index.html, home.html, default.html… Trong trường hợp này, chỉ cần xử lý các tệp tin này là website có thể hoạt động trở lại bình thường.
Đối với những trường hợp khó phát hiện hơn, khi tin tặc không thay đổi nội dung ở các trang web, việc phát hiện sự xâm nhập hệ thống có thể phức tạp hơn. Cảnh báo thường đến từ việc truy cập website hoặc từ phía nhà cung cấp dịch vụ lưu ký web (hosting).
Để phòng chống các cuộc tấn công thay đổi giao diện, cần quét mã nguồn website, thiết lập giới hạn truy cập, chọn plugin cẩn thận, cài đặt quét website tự động. Chủ sở hữu, quản trị viên website có thể tự kiểm tra các phần mềm độc hại trên website của mình; quét mã nguồn là cách hiệu quả để ngăn chặn tấn công deface.
Ngoài ra, hạn chế số lượng tài khoản admin và giới hạn quyền truy cập cho từng tài khoản để giảm nguy cơ tấn công. Đồng thời, lựa chọn plugin và ứng dụng một cách cẩn thận, chỉ sử dụng những cái thực sự cần thiết và thường xuyên kiểm tra, gỡ bỏ các plugin không sử dụng. Đặc biệt, tuyệt đối tránh sử dụng các plugin có tính phí đã bị phá mã bảo vệ và chia sẻ miễn phí (cracked). Việc sử dụng các công cụ quét tự động cũng giúp giảm thiểu rủi ro và tiết kiệm thời gian, đồng thời giúp phát hiện sớm các hoạt động bất thường.
Cách khắc phụ hậu quả khi bị tấn công thay đổi giao diện website
Theo chuyên gia bảo mật, có 6 cách chính để khắc phục hậu quả của một cuộc tấn công thay đổi giao diện web. Đó là khắc phục tạm thời, rà soát và xử lý, phân tích và xử lý thành phần độc hại, xác định và vá lỗ hổng, điều tra nguồn tấn công và đưa website hoạt động lại bình thường.
Cụ thể, ngay khi phát hiện website bị tấn công, cần đổi mật khẩu và thông báo tạm thời bảo trì. Sau đó, so sánh các tệp tin với bản sao lưu, sử dụng các câu lệnh như “# dif -qr” hoặc “#md5sum” để xác định tệp tin bị thay đổi. Tiếp đó, phân tích hành vi của mã độc, khoanh vùng và theo dõi kết nối đến máy chủ (server), sau đó loại bỏ mã độc. Phối hợp với các bộ phận chuyên môn để vá lỗ hổng, cập nhật phiên bản mới cho mã nguồn và các module, plugin.
Khi điều tra nguồn tấn công, tìm thông tin server điều khiển và địa chỉ thực hiện tấn công, phối hợp với cơ quan chức năng để điều tra. Cuối cùng, khôi phục hoạt động website sau khi xử lý xong hậu quả của đợt tấn công. Các chuyên gia mà phóng viên tham vấn đều nhấn mạnh rằng việc đầu tư vào các biện pháp bảo vệ website từ ban đầu là cực kỳ quan trọng để tránh những tổn thất về mặt tài chính và uy tín do các cuộc tấn công deface kiểu mới gây ra.
Khánh Mai (t/h)
https://vietq.vn/hang-tram-trang-website-co-quan-nha-nuoc-bi-tan-cong-mang-deface-kieu-moi-d218355.html
