Vào 13 giờ ngày 22/10/2016, tin tặc đã thay đổi đăng ký DNS của toàn bộ 36 tên miền của một ngân hàng Braxin, chuyển tên miền của ngân hàng sang các site lừa đảo. Điều này có nghĩa là tin tặc có thể đánh cắp thông tin đăng nhập của các web site của ngân hàng này. Thậm chí chúng còn có thể đồng thời định hướng lại tất cả các giao dịch tại ATM và POS tới máy chủ giả để thu thập thông tin thẻ tín dụng của những khách hàng dùng thẻ vào buổi chiều cùng ngày.
Kaspersky không tiết lộ tên của của ngân hàng bị tấn công định hướng lại DNS nhưng cho biết đó là tổ chức tài chính lớn của Braxin với hàng trăm chi nhánh, hoạt động cả ở Mỹ và quần đảo Cayman, có 5 triệu khách hàng và tổng tài sản lớn hơn 27 tỷ đô la. Chuyên gia Bestuzhev nói “Đây là một nguy cơ đã được biết đến với internet, nhưng chúng tôi chưa bao giờ thấy nó bị lợi dụng ở quy mô lớn như vậy”.
Hệ thống tên miền (Domain Name System - DNS) là giao thức thiết yếu của mạng Internet, giúp dịch tên miền bằng chữ cái (như Google.com) thành địa chỉ IP (như 74.125.236.195) biểu diễn vị trí thực sự của máy tính chứa website hay các dịch vụ. Việc tấn công những bản ghi đó có thể làm ngưng hoạt động của các website hay chuyển hướng sang những địa chỉ mà tin tặc lựa chọn. Chẳng hạn như năm 2013, nhóm tin tặc Syrian Electronic Army đã thay đổi đăng ký DNS của tờ The New York Times để dẫn độc giả đến một trang chứa biểu tượng của tin tặc. Gần đây hơn, vụ tấn công của mạng lưới botnet Mirai đã khiến một loạt các trang web, trong đó có Amazon, Twitter và Reddit, không truy cập được. Vụ tấn công DNS của ngân hàng Braxin nhắm tới mục tiêu là lợi nhuận cao tài chính.
Kaspersky tin rằng tin tặc đã chiếm quyền kiểm soát tài khoản của ngân hàng tại Registro.br – tổ chức cung cấp dịch vụ đăng ký tên miền cho các địa chỉ .br (Braxin). Nhờ đó, chúng có thể chuyển đồng thời toàn bộ các tên miền của ngân hàng tới những máy chủ do chúng thiết lập trên Cloud Platform của Google. Tất cả những người truy cập các website của ngân hàng đó sẽ được định hướng lại tới những trang có “hình ảnh” về các chứng thực số được cấp phát giống với của ngân hàng họ đang sử dụng. Do đó khách hàng sẽ nhìn thấy hình chiếc khoá và tên của ngân hàng như khi họ truy cập website chính thức. Kaspersky phát hiện những chứng thực đó đã được Let’s Encrypt (một CA phi lợi nhuận) phát hành trước đó sáu tháng.
Josh Aas, người sáng lập Let’s Encrypt, nói rằng nếu một pháp nhân có quyền kiểm soát DNS thì họ sẽ có thể được cấp phát chứng thực số và đây không phải là do lỗi của Let’s Encrypt. Vụ chiếm quyền kiếm soát hoàn hảo đến mức ngân hàng thậm chí không thể gửi thư điện tử để cảnh báo khách hàng.
Ngoài việc đánh cắp thông tin đăng nhập, các website giả còn lây nhiễm mã độc cho nạn nhân. Theo phân tích của Kaspersky, mã độc không chỉ thu thập thông tin đăng nhập kênh giao dịch ngân hàng điện tử của ngân hàng Braxin và tám đơn vị khác, mà còn lấy cả thông tin đăng nhập thư điện tử và FTP cùng với danh sách liên hệ từ Outlook và Exchange. Tất cả các thông tin đó được gửi tới các máy chủ được host ở Canada. Mã độc lây cho khách hàng có cả chức năng vô hiệu hoá trình diệt virus và có thể tồn tại lâu dài sau khi cuộc tấn công kéo dài trong 5 giờ đó kết thúc. Mã độc có chứa các đoạn văn bản bằng tiếng Bồ Đào Nha, cho thấy những kẻ tấn công có thể cũng là người Braxin.
Sau khoảng 5 giờ, ngân hàng đã lấy lại quyền kiểm soát tên miền, có thể bằng cách gọi điện tới NIC.br và thuyết phục họ sửa lại các đăng ký DNS. Nhưng bao nhiêu khách hàng của ngân hàng bị lộ thông tin do hậu quả của cuộc tấn công thì vẫn còn là một bí mật. Kaspersky cho biết, ngân hàng không chia sẻ thông tin với công ty bảo mật và cũng không công bố về cuộc tấn công.
Nhưng tại sao NIC.br lại mất kiểm soát với các tên miền của ngân hàng này ở quy mô lớn đến thế? Kaspersky dẫn thông tin một bài đăng trên blog của NIC.br thừa nhận rằng, có lỗ hổng trong website của họ cho phép thay đổi các thiết lập của khách hàng. Tuy nhiên, trong bài viết đó NIC.br nhận định rằng chưa có bằng chứng cho thấy có cuộc tấn công lợi dụng lỗ hổng đó. Bài viết cũng mơ hồ nhắc tới các vụ việc xảy ra gần đây dẫn đến những hậu quả lớn có liên quan tới thay đổi DNS, nhưng lại cho rằng những vụ đó liên quan đến những cuộc tấn công bằng thủ đoạn lừa đảo mang tính kỹ nghệ xã hội (social engineering).
Trong một cuộc gọi, giám đốc kỹ thuật của NIC.br, Frederico Neves, phủ nhận thông tin của Kaspersky về việc toàn bộ 36 tên miền của ngân hàng đã bị tin tặc chiếm quyền kiểm soát “Tôi có thể chắc chắn rằng con số do Kaspersky đưa ra chỉ là phỏng đoán”. Ông ta cũng phản bác ý kiến cho rằng NIC.br đã bị tấn công, nhưng vẫn thừa nhận một số tên miền có thể bị thay đổi bằng thủ đoạn phishing hay do khách hàng bị lộ tài khoản thư điện tử.
Chuyên gia Bestuzhev của Kaspersky nói rằng vụ việc này là một cảnh báo rõ ràng về việc các ngân hàng cần kiểm tra lại an ninh cho tên miền của họ. Ông cho biết một nửa trong số 20 ngân hàng có tổng tài sản lớn nhất không quản lý DNS của họ mà giao chúng cho những đối tác thứ ba (có thể bị tấn công). Và dù ai quản lý DNS của ngân hàng, thì họ cũng cần áp dụng những biện pháp đặc biệt để ngăn không cho sửa đổi DNS mà không có biện pháp kiểm tra an ninh, chẳng hạn như “registry lock” – biện pháp xác thực hai yếu tố mà một số đơn vị đăng ký tên miền cung cấp.
Nếu không có những biện pháp phòng vệ đó, việc thay đổi tên miền như trong vụ tấn công với ngân hàng Braxin có thể phá vỡ mọi biện pháp bảo mật khác. Các chứng thực số hay các hệ thống bảo mật mạng không có nghĩa lý gì nếu khách hàng của bạn bị dẫn tới một phiên bản giả mạo của website.