Thứ 4, ngày 1 tháng 4 năm 2020

Giải mã vụ hack trang chủ Google Việt Nam

24/02/2015 11:23 GMT+7
Ảnh minh họa: Internet

TTO - Trang Google.com.vn không bị hack, thay vào đó, hacker đã điều hướng truy cập của người dùng. Hacker đã làm điều đó như thế nào?

Ảnh và thông điệp của hacker trên trang web Google.com.vn điều hướng người dùng truy cập vào - Ảnh chụp giao diện màn hình ngày 23-2
Ảnh và thông điệp của hacker trên trang web Google.com.vn điều hướng người dùng truy cập vào - Ảnh chụp giao diện màn hình ngày 23-2

Vào khoảng 12g ngày 23-2, người dùng truy cập vào trang chủ công cụ tìm kiếm Google.com.vn bắt gặp hình ảnh một người đàn ông chụp ảnh bằng iPhone cùng dòng chữ mang hàm ý trang chủ đã bị chiếm giữ (hack) bởi nhóm hacker Lizard Squad (Biệt đội Thằn lằn) kèm một số tên tuổi trong cộng đồng bảo mật như Brian Krebs, hay nhóm Komodo... 

Chuyển hướng truy cập Google.com.vn

 

Vụ việc tưởng chừng như trang chủ Google.com.vn bị hack và thay đổi giao diện (deface). Tuy nhiên, theo phân tích từ một số chuyên gia an ninh mạng, trang chủ Google.com.vn chỉ bị điều hướng (redirect) sang một trang web lưu trữ tại bộ nhớ đệm (cache) từ hai dịch vụ miễn phí DigitalOcean và CloudFlare.

Ngoài ra, không hẳn nhóm Lizard Squad thực hiện mà có thể do hacker "đánh lạc hướng" hoặc chỉ để "đùa giỡn".

Để chuyển hướng được tên miền Google.com.vn sang một địa chỉ khác, hacker đã thay đổi NS record 1 và 2 của Google.com.vn sang CloudFlare.

Cụ thể, 2 trong 3 thông tin NS record của tên miền Google.com.vn gồm ns1.google.com và ns2.google.com bị đổi sang DNS của CloudFlare (irma.ns.cloudflare.com và dan.ns.cloudflare.com).

* Xem: DNS là gì, sử dụng thế nào?

Phần thông tin NS record của tên miền Google.com.vn bị hacker thay đổi sang CloudFlare để điều hướng trang web trưa ngày 23-2 - Ảnh: Facebook Nguyễn Hồng Phúc
Phần thông tin NS record của tên miền Google.com.vn bị hacker thay đổi sang CloudFlare để điều hướng trang web trưa ngày 23-2 - Ảnh: Facebook Nguyễn Hồng Phúc
Phần thông tin NS record của tên miền Google.com.vn bị hacker thay đổi sang CloudFlare để điều hướng trang web trưa ngày 23-2. Ảnh chụp từ thông tin tra cứu từ website VNNIC trưa ngày 23-2 - Ảnh: Facebook Nguyễn Hồng Phúc
Phần thông tin NS record của tên miền Google.com.vn bị hacker thay đổi sang CloudFlare để điều hướng trang web trưa ngày 23-2. Ảnh chụp từ thông tin tra cứu từ website VNNIC trưa ngày 23-2 - Ảnh: Facebook Nguyễn Hồng Phúc

Theo giới phân tích, hacker đã rất khôn khéo khi sử dụng DigitalOcean và CloudFlare, do miễn phí sử dụng nên dễ dàng đăng ký, có thể tiếp nhận lượng truy cập rất lớn của người dùng Internet tại Việt Nam truy cập vào cùng một thời điểm (có thể vượt hơn một triệu lượt truy cập), và đặc biệt là khó truy vết.

Ngoài ra, không phải tất cả người truy cập vào Google.com.vn đều thấy hình ảnh của hacker để lại, mà chỉ có những người dùng đang sử dụng Google Public DNS với địa chỉ DNS 8.8.8.8.

Các người dùng khác sử dụng DNS mặc định từ nhà cung cấp dịch vụ mạng Internet (ISP) sẽ không thấy hình ảnh này và vẫn truy cập vào Google.com.vn bình thường.

Phần thông tin NS record tên miền Google.com.vn đã được Google điều chỉnh lại (phần NS1, NS2) - Ảnh: Facebook Nguyễn Hồng Phúc
Phần thông tin NS record tên miền Google.com.vn đã được Google điều chỉnh lại (phần NS1, NS2) - Ảnh: Facebook Nguyễn Hồng Phúc

Google cung cấp miễn phí dịch vụ truy vấn nhanh Google Public DNS với hai địa chỉ DNS 8.8.8.8 và 8.8.4.4. Dùng DNS của Google sẽ giúp truy cập web nhanh hơn, kèm khả năng chống lại các website nhúng mã độc, lừa đảo trực tuyến và nhiều mối đe dọa khác. 

Google Public DNS cập nhật rất nhanh (tầm 50 phút), so với các DNS khác thường có thời gian cập nhật lên đến gần một ngày. (Xem: Duyệt web nhanh hơn với Google Public DNS).

Ngay sau khi xảy ra sự cố, đội ngũ kỹ thuật Google đã thay đổi lại NS Record, trang Google.com.vn hoạt động bình thường trở lại.

Google và VNNIC nói gì?

Bà Amy Kunrojpanya, Giám đốc Truyền Thông, Thái Lan, Việt Nam, Indonesia và Những thị trường mới mổi, Google Châu Á - Thái Bình Dương xác nhận: "Trong một khoảng thời gian ngắn, một số người dùng gặp khó khăn khi truy cập Google.com.vn, hay bị chuyển hướng sang một trang web khác. Các dịch vụ của Google trên tên miền Google.com.vn không bị ảnh hưởng. Chúng tôi đã làm việc với phía quản lý tên miền này và vấn đề đã được xử lý".

Hiện phía Google chưa cung cấp thêm thông tin gì khác.

Về phía VNNIC, đơn vị chịu trách nhiệm quản lý, lưu trữ thông tin hệ thống tên miền cấp cao TLD (Top Level Domain) và cấp phát tên miền quốc gia *.VN, trao đổi qua điện thoại với Tuổi Trẻ, cũng như trả lời qua Báo Bưu Điện (ICTnews), ông Trần Minh Tân, Phó giám đốc VNNIC cho biết: "hệ thống DNS quốc gia quản lý tên miền “.VN”, bao gồm hệ thống các máy chủ DNS quốc gia tại Việt Nam và trên toàn cầu cũng như hệ thống dịch vụ quản lý đăng ký tên miền hoàn toàn không bị tấn công. Hệ thống này hiện vẫn cung cấp dịch vụ truy vấn tên miền “.VN” bình thường, đồng thời vẫn trả lời tất cả các truy vấn một cách chính xác và nhanh chóng"

"Sau khi Google Inc xác nhận yêu cầu thay đổi là không hợp lệ và yêu cầu trợ giúp, vào lúc 14h05, theo yêu cầu của đại diện Google Inc, VNNIC đã cập nhật lại thông tin bản ghi của google.com.vn theo dữ liệu trước thời điểm sự cố, khoá bản ghi, đưa tên miền Google.com.vn trở lại hoạt động hoàn toàn bình thường", theo đại diện VNNIC cho biết trên ICTNews.

Theo ICTNews, đại diện VNNIC cho biết thêm, hiện tại Google Inc và đơn vị quản lý tên miền google.com.vn đang tiếp tục khoanh vùng xác định nguyên nhân sự cố, khắc phục triệt để lỗi để không xảy ra sự cố tương tự và có thể sẽ có thêm thông tin về sự cố trong những ngày tiếp theo.

Google không bị hack tên miền Google.com.vn, VNNIC không bị hacker tấn công vào hệ thống máy chủ quản lý tên miền. Nạn nhân ở đây là bên thứ ba, WebNIC.CC, đơn vị do Google thuê quản lý tên miền Google.com.vn bị hack, từ đó thay đổi thông tin bản ghi NS (NS record), chuyển hướng truy cập

Một chuyên gia phân tích an ninh mạng đầu ngành chia sẻ

Trường hợp Google.com.vn ở trên tương tự trang chủ Google Malaysia (Google.com.my) vào tháng 10-2013. Khi đó, trang chủ Google.com.my cũng bị đổi DNS từ hệ thống MYNIC (Malaysia Network Information Centre) điều hướng sang trang web khác hiển thị thông điệp của nhóm hacker MadLeets. 

Nhóm hacker MadLeets không chiếm giữ tên miền Google.com.my, hoặc tấn công vào hệ thống quản lý tên miền của MYNIC, thay vào đó, nhóm này tấn công vào hệ thống của bên thứ ba là đơn vị Google thuê quản lý tên miền.

THANH TRỰC
Bình luận (0)
    Xem thêm bình luận
    Bình luận Xem thêm
    Bình luận (0)
    Xem thêm bình luận