Công ty chuyên về an ninh và bảo mật Trend Micro mới đây đã phát hiện một vụ tấn công vào hệ thống router của hộ gia đình có liên quan đến sự phối hợp giữa JavaScript, một trang web di động, và một thiết bị di động chẳng hạn như điện thoại thông minh. Vụ tấn công này đã diễn ra hồi tháng 12 năm ngoái và chủ yếu ở các quốc gia Đài Loan, Nhật Bản, và Trung Quốc. Tuy nhiên, trong danh sách tấn công thì Hoa Kỳ nằm ở vị trí thứ tư, vì vậy người dùng ở các quốc gia khác cũng rất cần lưu ý đề phòng.
Theo thông tin từ công ty Trend Micro thì một trang web di động bị nhiễm mã độc có thể chứa JavaScript cho phép tải về một JavaScript khác với những thay đổi thiết lập DNS của router lên một thiết bị di động. Mặc dù JavaScript này cũng có thể được tải về trên máy tính, việc lây nhiễm lại phụ thuộc vào phương tiện của người dùng - ví dụ, JS_JITONDNS chỉ lây nhiễm cho các thiết bị di động và kích hoạt việc thay đổi thiết lập DNS, trong khi JITON sẽ chỉ được kích hoạt khi nạn nhân đang sử dụng một modem ZTE.
Trong quá trình phân tích đoạn mã, các chuyên gia của công ty Trend Micro phát hiện ra rằng tin tặc nhắm vào các bộ định tuyến được bán ra từ các nhà sản xuất nổi tiếng như D-Link, TP-LINK, và ZTE. Báo cáo đồng thời chỉ ra rằng TP-LINK hiện đang chiếm 28% thị trường thiết bị router trong khi D-Link cũng nằm trong nhóm 10 nhà sản xuất hàng đầu với 7% thị phần. Với việc D-Link có trụ sở ở Đài Loan còn TP-LINK thì ở Trung Quốc, nên công ty Trend Micro nhận định không có gì phải ngạc nhiên khi nhận được báo cáo số vụ tấn công cao tại hai quốc gia và vùng lãnh thổ này.
“Bọn tội phạm mạng này rất ranh mãnh, chúng lợi dụng việc các trang web bị nhiễm mã độc khó có thể nhận biết do thiếu các hoạt động khả nghi trong khi các đoạn mã JavaScript thường xuyên được cập nhật để sửa lỗi và như vậy cũng liên tục thay đổi các thiết lập của những bộ định tuyến đã nằm trong tầm ngắm," báo cáo của công ty Trend Micro cho biết.
Công ty Trend Micro cũng tiết lộ danh sách các quốc gia có thể bị ảnh hưởng bởi kiểu tấn công bằng thiết bị di động như thế này, bao gồm Pháp, Canada, Úc, Hàn Quốc, Hong Kong và Hàn Lan.
Các thiết lập DNS của một router có thể bị ghi đè nhờ vào mã JavaScript có chứa hơn 1.400 tổ hợp đăng nhập, bao gồm một danh sách các mật khẩu phổ biến. Ngoài ra còn có mã trong JavaScript có thể ghi đè lên các thiết lập DNS bằng cách khai thác một lỗ hổng cụ thể mà hiện đang tồn tại ở các bộ định tuyến của nhà sản xuất ZTE. Trên hết, tin tặc có thể gửi từ xa bất kỳ lệnh tùy ý với quyền quản trị đến router một khi nó đã bị xâm nhập.
Tuy vậy, công ty Trend Micro cũng chỉ ra rằng việc thay đổi thiết lập DNS chỉ có thể thực hiện khi nạn nhân dùng thiết bị di động chẳng hạn như điện thoại để truy cập vào một trang web đang bị khống chế. Cho nên, để ngăn ngừa các tin tặc chiếm quyền kiểm soát các bộ định tuyến thì tất cả người dùng luôn cần phải theo dõi cập nhật thường xuyên cho firmware của router, và đồng thời tránh sử dụng tên ID và mật khẩu mặc định đi kèm với thiết bị khi mới mua về (ví dụ như “admin” và ‘password”).
Các cuộc tấn công nhằm vào hệ thống router gia đình không phải là điều gì mới mẻ mặc dù kiểu tấn công này dường như đang tận dụng xu hướng di động trong một thế giới Internet-of-Things (IOT) đang nổi lên. Tin tặc có thể làm tất cả những điều mà chúng muốn với các router đã bị kiểm soát, trong đó bao gồm việc thiết lập một mạng botnet, và lập trình thiết lập lại DNS để chuyển các nạn nhân vô tội đến các trang web độc hại. Thật không may, hầu hết các điện thoại thông minh và máy tính bảng hiện không được chú trọng bảo vệ như đối với máy tính để bàn, do đó kiểu tấn công di động mới dựa trên JavaScript nói trên chắc chắn là hồi chuông cảnh báo không hề thừa đến tất cả những người dùng chúng ta, vốn đang trở nên lệ thuộc nhiều vào các thiết bị di động hơn bao giờ hết.
Nguồn Digital Trends
