Phản ứng vụ việc google.com.vn bị tấn công

Như nhiều trang báo của Việt Nam đưa tin, vào hồi 12h ngày 23/02/2015, website của google.com.vn trỏ trực tiếp vào website có hình và thông tin của một nhóm hacker. Trang web google.com vẫn hoạt động bình thường, vụ việc này chỉ xảy ra với tên miền google.com.vn.

Chúng ta có thể tạm kết luận là tên miền google.com.vn đã bị trỏ đển một website khác hoặc hệ thống máy chủ đã bị thay đổi nội dung. Một số nguyên nhân có thể dẫn đến tình trạng này:

1. Hệ thống máy chủ của google bị tấn công và thay đổi nội dung website.
2. Máy chủ phân giải tên miền là 8.8.8.8/8.8.4.4 gặp vấn đề, có thể đã bị nhóm hacker xâm nhập.
3. Hệ thống DNS của mạng internet tại Việt Nam bị trỏ vào một máy chủ DNS khác của hacker và tên miền Google.com.vn bị chuyển hướng tới website của hacker. (Do tin tặc tấn công các hệ thống router, hay các hệ thống quản lý của các nhà mạng ISP).
4. Đơn vị quản lý tên miền google.com.vn gặp sự cố hoặc bị hacker xâm nhập và thay đổi thông tin của nameserver về nameserver của cloudflare do hacker kiểm soát.

Phân tích và xác định nguyên nhân

Hiện tại, chỉ người dùng Việt Nam sử dụng hệ thống Public DNS của google (Google Public DNS 8.8.8.8/8.8.4.4) mới bị ảnh hưởng, khi chuyển sang sử dụng các máy chủ DNS khác thì không gặp vấn đề này. Do vậy, chúng ta có thể loại bỏ trường hợp “Hệ thống DNS của mạng internet tại Việt Nam bị trỏ vào một máy chủ DNS khác của hacker và tên miền Google.com.vn bị chuyển hướng tới website của hacker”.

Tại thời điểm xảy ra sự cố, website google.com vẫn hoạt động bình thường và không có dấu hiệu bị tấn công. Do google.com và google.com.vn đều được trỏ vào một máy chủ nên ta có thể loại bỏ khả năng nguyên nhân do hệ thống website của Google bị tấn công.

Ngoài ra, còn một số thông tin chưa được kiểm chứng, 1 số website trong đó có vietnamworks.com bị ảnh hưởng. (Nếu bạn bè nào đã kiểm chứng vui lòng cung cấp thêm cho tôi thông tin).

Như vậy, chỉ còn 2 nguyên nhân có thể dẫn tới tình trạng này

• Đơn vị quản lý tên miền google.com.vn gặp sự cố hoặc bị hacker xâm nhập và thay đổi thông tin của nameserver về nameserver của cloudflare do hacker kiểm soát.
• Hệ thống Public DNS của google bị ảnh hưởng. Hoặc đã bị tin tặc kiểm soát.

Tuy nhiên, tại thời điểm tấn công, kiểm tra tại VNNIC thì các name server của Google đang sử dụng bị chuyển về cloudflare.

Nguồn FB: Hoàng Quốc Thịnh – VNSecurity

Bình thường Name Server mà google sử dụng là

Ảnh chụp tại thời điểm phân tích

Đơn vị quản lý tên miền google.com.vn là công ty: công ty Qinetics Solution Berhad có trụ sở ở Malaysia – https://www.webnic.cc/.

Nguồn FB: Hình ảnh truy cập vào google.com.vn không thành công

Từ đó tôi có thể tạm kết luận rằng hệ thống quản lý domain của google.com.vn đã bị xâm nhập và thay đổi. Nguyên nhân có thể do quản trị domain: google.com.vn bị lộ tài khoản hoặc hệ thống WebNIC có vấn đề và đã bị kiểm soát.

Kịch bản tấn công

Chốt lại vấn đề, kịch bản hệ thống google.com.vn bị tấn công như sau:

• Hacker đã kiểm soát được hệ thống quản lý tên miền của google.com.vn (có thể do hệ thống của webnic bị xâm nhập hoặc do quản trị hệ thống để lộ các thông tin đăng nhập trang quản lý domain).
• Hacker đã thay đổi nameserver của google.com.vn về nameserver của cloudflare.
• Trong trang quản trị của cloudflare, hacker đã cấu hình website trỏ về địa chỉ máy chủ của hacker và đưa lên một trang html như hình bên trên.
• Nguyên nhân của vụ việc không phải do VNNIC và cũng không phải do hệ thống Google Public DNS.

Một số vấn đề cần giải thích thêm

“Truy cập bằng DNS không phải của Google thì vẫn bình thường”

Nếu hệ thống quản lý domain của google.com.vn bị ảnh hưởng thì tất cả các DNS Server sẽ phải trả về trang của hacker. Nghĩa là truy cập bằng DNS không phải của Google thì vẫn bị đưa về trang của hacker. Theo giải thích của cá nhân tôi, thì đây là có thể là do việc Cache trên mỗi máy chủ DNS khác nhau, máy chủ DNS của google đặt cache ngắn nên có thể bị ảnh hưởng trước. Các DNS khác có thể cũng bị khi hệ thống đã xóa cache, tuy nhiên VNNIC đã cấu hinhf lại sớm cho google.com.vn nên các DNS server khác không bị ảnh hưởng.

“Google Public DNS có bị tấn công DNS Spoofing (hay DNS cache poisoning) hay không?”

Như chúng ta đã biết, lỗ hổng do Dan Kaminsky công bố năm 2008 có nhiều cách để khai thác khi hacker sẽ đổ đầy Cache DNS của các máy chủ DNS các dữ liệu giả mạo. Lỗ hổng này có thể khai thác khi hacker cố gắng giả mạo gói tin DNS Reply được gửi về khi máy chủ DNS tiến hành query đến máy chủ DNS khác. Tuy nhiên giải thiết này không đúng, vì google đã fix lỗi này từ năm 2008.

Google và VNNIC xác nhận an toàn

Hiện tại, cả Google và VNNIC đều phản hồi rằng hệ thống của họ không bị ảnh hưởng gì. Vì vấn đề nằm ở tài khoản vào trang cấu hình của google.com.vn bị lộ hoặc do kẻ tấn công kiểm soát được hệ thống WebNic

Trên đây là thông tin mà tôi phân tích dựa trên các thông tin thu được từ bạn bè và kiến thức của bản thân tôi, hi vọng cung cấp cho các bạn một cách nhìn mới về vụ việc này. Tôi xin chân thành cảm ơn các bạn đã giúp tôi ghi lại những hình ảnh và thông tin đáng quí khi sự cố xảy ra.

Tran Quang Chien

http://securitydaily.net/author/quangchien

Chuyên gia có nhiều năm kinh nghiệm về nghiên cứu, quản lý và phát triển các giải pháp trong lĩnh vực an toàn thông tin tại Việt Nam, nhà sáng lập chuyên trang tin tức và phân tích chuyên sâu về an toàn thông tin - SecurityDaily.NET.