Google.com.vn và Lenovo bị tấn công
10:48 | 02/03/2015 | AN TOÀN THÔNG TIN
Ngày 23/02/2015, trang web tìm kiếm số 1 thế giới Google, cụ thể là Google Việt Nam (google.com.vn) xuất hiện thông báo đã bị tấn công bởi nhóm hacker Lizard Squad. Tiếp sau đó, ngày 26/02/2015 trang web Lenovo.com cũng bị thông báo tấn công bởi nhóm hacker này.
Nhóm hacker này được cho là không chỉ đánh sập trang Google Việt Nam mà còn tự tin công khai danh tính những thành viên tham gia, nơi thực hiện tấn công (Texas). Đi kèm với thông báo này, nhóm hacker còn đính kèm một bức ảnh của một người đàn ông (được dự đoán là một thành viên trong nhóm). Và bên dưới là một đoạn video bài hát Rap trên Youtube có ngôn từ kém văn hóa. Tuy nhiên, hiện tượng này không gặp phải khi truy cập tên miền google quốc tế là Google.com.
Ngay khi phát hiện sự cố này, Google đã chặn hướng truy cập vào trang Google.com.vn nhằm sửa lỗi. Tuy nhiên theo phân tích từ một số chuyên gia an ninh mạng thì những người dùng sử dụng DNS của Google (8.8.8.8, 8.8.4.4 (IPV4) và 2001:4860:4860::8888, 2001:4860:4860::8844 (IPv6)) mới gặp phải màn hình thông báo bị tấn công trên. Hiện tại ở Việt Nam số lượng người dùng DNS Google là rất lớn nên tầm mức ảnh hưởng được đánh giá là không hề nhỏ. Tại thời điểm đó, khi thực hiện truy vấn tên miền google.com.vn sẽ nhận được kết quả IP 104.27.143.97 từ hosting trên CloudFlare.
Tới khoảng 14h cùng ngày hiện tượng trên không còn lặp lại, truy vấn tên miền Google.com.vn đã hiển thị địa chỉ IP “74.125.23.94” là địa chỉ IP của Google.
Theo phân tích của chuyên gia An ninh mạng Bkav, hiện tượng trang google.com.vn bị thay đổi giao diện theo phản ánh của một số người dùng Internet Việt Nam là do DNS, hệ thống quản lý tên miền Google.com.vn của Google đã bị can thiệp. Chưa thể xác định hiện tượng nêu trên phải là do bị hacker tấn công hay không.
Tuy nhiên Đại diện VNNIC khẳng định, hệ thống DNS quốc gia quản lý tên miền “.vn”, bao gồm hệ thống các máy chủ DNS quốc gia tại Việt Nam và trên toàn cầu cũng như hệ thống dịch vụ quản lý đăng ký tên miền hoàn toàn không bị tấn công. Hệ thống này hiện vẫn cung cấp dịch vụ truy vấn tên miền “.vn” bình thường, đồng thời vẫn trả lời tất cả các truy vấn một cách chính xác và nhanh chóng. Về vụ việc trang web tìm kiếm Google.com.vn bị lỗi, đại diện VNNIC nhấn mạnh, việc thay đổi địa chỉ của các tên miền “www.google.com.vn” và “google.com.vn” là có thật. Nguyên nhân là do, vào lúc 11h54 ngày 23/2/2015, 2 trong 3 địa chỉ máy chủ DNS quản lý tên miền Google.com.vn của Google Inc đã được đơn vị quản lý tên miền (cung cấp dịch vụ tên miền cho Google) thay đổi từ “ns1.google.com” và “ns2.google.com” sang 2 địa chỉ khác là “dan.ns.cloudflare.com” và “irma.ns.cloudflare.com”. Đây là 2 trong số rất nhiều máy chủ DNS Hosting của Cloudflare, một nhà cung cấp dịch vụ điện toán đám mây lớn trên thế giới, được nhiều công ty lớn sử dụng như GoDaddy, Network Solutions, Tucows Inc…
Cũng theo đại diện VNNIC, không phải toàn bộ các truy cập của người dùng vào website tìm kiếm Google.com.vn bị ảnh hưởng, đều dẫn đến trang thông báo bị hack, bởi lẽ các truy vấn tới máy chủ tên miền thứ 3 của Google với địa chỉ “ns3.google.com” vẫn được thực hiện bình thường. Đại diện VNNIC chia sẻ, ngay sau khi phát hiện thông tin, VNNIC đã chủ động kiểm tra toàn bộ hệ thống kỹ thuật DNS quốc gia, khẳng định không có trường hợp tấn công vào hệ thống của VNNIC. Sau khi khoanh vùng và xác định sự cố nằm ở hệ thống của đơn vị quản lý tên miền Google.com.vn, hệ thống của Cloudflare và quy trình tác nghiệp quản lý tên miền giữa Google Inc và đơn vị nói trên, VNNIC đã chủ động liên hệ với đơn vị quản lý tên miền Google.com.vn, trao đổi với Google Inc (US), yêu cầu kiểm tra xác thực thông tin, hỗ trợ, phối hợp xử lý sự cố.
Cũng theo đại diện VNNIC, không phải toàn bộ các truy cập của người dùng vào website tìm kiếm Google.com.vn bị ảnh hưởng, đều dẫn đến trang thông báo bị hack, bởi lẽ các truy vấn tới máy chủ tên miền thứ 3 của Google với địa chỉ “ns3.google.com” vẫn được thực hiện bình thường. Đại diện VNNIC chia sẻ, ngay sau khi phát hiện thông tin, VNNIC đã chủ động kiểm tra toàn bộ hệ thống kỹ thuật DNS quốc gia, khẳng định không có trường hợp tấn công vào hệ thống của VNNIC. Sau khi khoanh vùng và xác định sự cố nằm ở hệ thống của đơn vị quản lý tên miền Google.com.vn, hệ thống của Cloudflare và quy trình tác nghiệp quản lý tên miền giữa Google Inc và đơn vị nói trên, VNNIC đã chủ động liên hệ với đơn vị quản lý tên miền Google.com.vn, trao đổi với Google Inc (US), yêu cầu kiểm tra xác thực thông tin, hỗ trợ, phối hợp xử lý sự cố.
Không lâu sau nghi vấn Google bị tấn công, hôm qua ngày 26/02/2015 trang web Lenovo.com bị tấn công. Theo đó, khi người dùng truy cập vào website trên, giao diện trang đã bị thay đổi, và trên màn hình xuất hiện một slide các hình ảnh của một thanh niên. Nhiều khả năng cho rằng nhóm hacker Lizard Squad chính là thủ phạm đứng đằng sau vụ việc này, tuy nhiên, hiện vẫn quá sớm để có thể khẳng định chắc chắn bất kỳ thông tin gì.
Theo dự đoán, kẻ tấn công đã cướp (hijack) bản ghi tên miền (domain record) của Lenovo, một kỹ thuật tấn công cho phép hacker chuyển hướng url lenovo.com sang một máy chủ mới đặt dưới quyền kiểm soát của chúng. Hiện tại, trang Lenovo.com đã truy cập bình thường.
Theo Gizmodo, trong bản cache trên Google của trang bị hack có cả đường link dẫn tới tài khoản Twitter của nhóm Lizard Squad: @LizardCircle, đồng thời sau vụ hack vài tiếng, Lizard Squad cũng lên Twitter và để lại thông điệp: "Thằn lằn sẽ còn tiếp tục các vụ tấn công trong thời gian tới".
Vụ tấn công vào website của Lenovo diễn ra sau khi cách đây ít ngày Lenovo bị lên án mạnh mẽ vì cài đặt adware Superfish vào máy tính người dùng. Mặc dù công cụ này được thiết kế chủ yếu để phục vụ quảng cáo, nhưng nó tồn tại những lỗ hổng bảo mật khiến người dùng có thể bị hacker theo dõi và ăn cắp các thông tin quan trọng như tài khoản ngân hàng... Lenovo sau đó đã xin lỗi và phát hành công cụ gỡ bỏ adware, tuy nhiên, hiện chưa rõ có sự liên hệ nào giữa vụ hack vào website với scandal Superfish này hay không.
