Nhiều website tên miền chính phủ thành bảng quảng cáo cờ bạc

Với lệnh tìm kiếm “game bài site:.gov.vn”, “kèo nhà cái site:.gov.vn” và “nổ hũ site:.gov.vn” trên Google, chỉ trong vòng 10 phút, phóng viên đã tìm ra hàng nghìn trang web trên 44 website .gov.vn bị tấn công kiểu này bao gồm website của Cục Công nghệ thông tin của một bộ, Sở Tài chính của một tỉnh miền Trung, UBND một huyện của thành phố Hà Nội, Trung tâm Kiểm nghiệm thuốc của một thành phố lớn… Tính đến tối 18/1, nhiều website cơ quan, đơn vị nhà nước vẫn còn trong tình trạng bị tấn công, trở thành bảng quảng cáo cho trang web cá độ, lô đề, ví dụ website của Cục Thống kê tỉnh Bắc Giang, Trung tâm VHTT-TDTT huyện Hướng Hóa, tỉnh Quảng Trị…

Từ khoe tài tới kiếm tiền “bẩn”

Nếu như trước đây, các script kiddies (những kẻ tập tành hack) thực hiện tấn công deface lên các website chỉ để thể hiện kỹ năng của mình bằng cách để lại dấu ấn cá nhân hoặc chụp lại hình ảnh của hệ thống, thì ngày nay, hình thức tấn công này đã trở nên phức tạp hơn nhiều và có mục tiêu “xôi thịt” hơn hẳn.

Website Trung tâm VHTT-TDTT huyện Hướng Hóa, tỉnh Quảng Trị bị tấn công để quảng cáo đánh bạc, cá độ trực tuyến (Ảnh chụp màn hình tối 18/1/2024)

Trao đổi với phóng viên Tiền Phong ngày 18/1, Ngọc Hiếu, một hacker đã “rửa tay gác kiếm”, bình luận: “Deface, hay tấn công thay đổi giao diện website, là một hình thức tấn công do hacker chuyên nghiệp thực hiện để bẻ khóa hệ thống. Để làm được điều này, tin tặc sẽ xâm nhập vào máy chủ của website và thay thế trang web hiện có bằng một trang web khác do chúng tạo ra”. Theo ông Hiếu, thông thường hacker sử dụng phương pháp SQL Injection để giành quyền đăng nhập của admin nhằm thực hiện loại tấn công này. Trước kia, mục tiêu của việc này thường chỉ là để chỉ ra các lỗ hổng trong việc duy trì bảo mật máy chủ của quản trị viên và thường không gây hại. Nhưng hiện nay, hình thức tấn công này thường đi kèm với các chiến lược marketing “mũ đen”, vừa nhằm kiếm tiền, vừa giúp che đậy hành vi tội phạm trước mắt quản trị viên và cơ quan chức năng.

Ông Lê Tuấn, chuyên gia SEO (tối ưu hóa công cụ tìm kiếm), chia sẻ, tình trạng tấn công deface đã có từ lâu nhưng trở nên đặc biệt táo tợn trong hơn 1 năm qua, với sự lên ngôi của một số mô hình kiếm tiền mới, khi hacker tấn công ồ ạt vào các website chính phủ và giáo dục để quảng bá cho các trang cờ bạc có nguồn gốc Trung Quốc.

Có nhiều cách mà tin tặc sử dụng để kiếm tiền, nhưng chủ yếu là chia thành hai loại. Loại trực tiếp là đặt quảng cáo cho các trang web “đen” và kiếm tiền thông qua tiếp thị liên kết (affiliate marketing), nơi nhà quảng cáo trả tiền dựa trên kết quả đạt được. Loại gián tiếp là tạo các liên kết (backlinks) tới các trang web cần tăng thứ hạng trong kết quả tìm kiếm của Google. Do Google đánh giá cao các liên kết đến từ các tên miền chính phủ (.gov) và giáo dục (.edu), nên những trang web này trở thành mục tiêu hấp dẫn cho SEO “mũ đen”, ông Tuấn nhận định.

Hacker hiện nay cũng sử dụng các thủ thuật cloaking (che giấu nội dung) phức tạp, bao gồm việc hiển thị nội dung không thay đổi cho quản trị viên, hiển thị quảng cáo cho người dùng cuối, và hiển thị nội dung được tối ưu hóa cho các bọ tìm kiếm (crawler), sử dụng các cơ chế điều hướng phức tạp dựa trên user agent (phần mềm thay thế người dùng), cơ sở dữ liệu về địa chỉ IP của bọ tìm kiếm và IP người dùng.

Website của Cục Thống kê tỉnh Bắc Giang bị tấn công để quảng cáo cá cược bóng đá (Ảnh chụp màn hình tối 18/1/2024)

Hacker đã tấn công như thế nào?

Ngày 18/1, ông Ngô Tuấn Anh, Tổng Giám đốc Công ty An ninh mạng SCS (SafeGate), chia sẻ với phóng viên Tiền Phong về phương pháp tấn công của tin tặc. “Kẻ xấu lợi dụng lỗ hổng bảo mật của website của các cơ quan chính phủ để đưa lên các đường link quảng cáo, phục vụ việc nâng cao thứ hạng tìm kiếm của các trang web độc hại, cờ bạc. Điều này cho thấy việc bảo mật website, nhất là website của khối các cơ quan và Chính phủ vẫn còn nhiều bất cập”, ông Tuấn Anh nói.

Việc kẻ xấu có thể đưa lên link ẩn lên trên webstie đã chứng minh, các hệ thống này bị xâm nhập, kiểm soát và đưa dữ liệu lên. “Về mặt kỹ thuật, các website này đã bị chiếm quyền điều khiển và nếu kẻ xấu bên cạnh đưa link ẩn để tăng thứ hạng quảng cáo trang web cờ bạc thì hoàn toàn có thể thay đổi nội dung của website hoặc đưa nội dung sai lệch lên website đó”, ông Tuấn Anh khẳng định. Có nhiều cách thức để thay đổi nội dung trên website, nhưng tất cả đều xuất phát từ một nguyên nhân: đó là những lỗ hổng bảo mật tồn tại trong hệ thống, cho phép kẻ tấn công xâm nhập và khai thác chúng.

“Ngoài ra, ở địa phương, hoặc bộ, ngành có thể có nhiều website nhưng do cùng một đơn vị triển khai xây dựng nên khi bị gán link quảng cáo thì có thể xuất hiện tình trạng hàng loạt website cùng bị gán link quảng cáo ở các website này”, ông Tuấn Anh nói.

Theo chuyên gia bảo mật, kẻ tấn công có thể sử dụng nhiều kỹ thuật khác nhau, bao gồm việc tải tệp tin lên server (bypass upload fckeditor), giành quyền đăng nhập dưới danh nghĩa quản trị viên (thông qua phương pháp SQL Injection), và thậm chí tấn công local từ một website khác trên cùng server nếu website đó có bảo mật kém. Các trường hợp thường bị tấn công bao gồm: Sử dụng mật khẩu đơn giản, không đủ mạnh, thiếu cơ chế bảo vệ chống lại các cuộc dò mật khẩu tự động (bruteforce), khiến hacker có thể sử dụng công cụ tự động để phát hiện mật khẩu; Cài đặt các module, plugin, extension từ các nguồn mã nguồn mở (phổ biến trong các trang web WordPress, Joomla...); Mật khẩu bị rò rỉ hoặc bị lộ.

Các lỗi thường gặp dẫn đến việc bị xâm nhập

Chuyên gia bảo mật nhấn mạnh rằng, các website thường xuyên bị tấn công deface chủ yếu do 5 lỗi sau. Thứ nhất, SQL Injection - một kỹ thuật khai thác lỗ hổng phổ biến, trong đó kẻ tấn công lợi dụng các kênh nhập liệu của trang web để chèn và thực thi các lệnh truy vấn SQL không hợp lệ, cho phép họ thực hiện các hành động như xoá, chèn, cập nhật dữ liệu trên cơ sở dữ liệu, từ đó chiếm quyền quản trị hệ thống. Thứ hai, Cross Site Scripting (XSS) - lỗ hổng này cho phép hacker chèn mã độc (thường là JavaScript hoặc HTML) vào trang web, và mã này sẽ thực thi trên trình duyệt của người dùng, cho phép tin tặc thu thập thông tin từ người dùng qua các kênh mà họ đã thiết lập. Thứ ba, Remote File Include (RFI) - cho phép hacker sử dụng các tệp tin lưu trữ từ xa để thực thi trên máy chủ mục tiêu, thường dùng để chạy mã độc trên cả máy chủ và máy người dùng để đánh cắp dữ liệu hoặc tải lên mã độc khác. Thứ tư, Local File Inclusion - lỗ hổng này xuất hiện trong quá trình đưa (include) file cục bộ trên máy chủ, và dễ bị khai thác khi dữ liệu đầu vào chứa đường dẫn tới tệp tin cần include, cho phép hacker truy cập trái phép vào tệp tin nhạy cảm. Thứ năm, mật khẩu yếu và module không cập nhật - tin tặc có thể dễ dàng tìm ra mật khẩu qua kỹ thuật bẻ khoá, đặc biệt đối với các hệ thống có mật khẩu yếu và các module, plugin, extension phiên bản cũ thường dễ dính lỗi bảo mật.

Để khắc phục tình trạng này, ông Tuấn Anh cho rằng, website của các cơ quan, tổ chức, nhất là các website quan trọng của Chính phủ cần kiểm tra, đánh giá an toàn, an ninh mạng khi đưa ra dịch vụ mới và phải đánh giá định kỳ để sớm phát hiện và vá các lỗ hổng trước khi kẻ xấu có thể tìm ra và lợi dụng.

Cục An toàn thông tin - Bộ TT&TT đã phát hành cảnh báo diện rộng về việc rà soát nội dung không phù hợp trên website của cơ quan nhà nước (.gov.vn), đề nghị các đơn vị rà soát toàn bộ website thuộc phạm vi quản lý để phát hiện và xóa bỏ nội dung không phù hợp, có biện pháp xử lý, ngăn chặn không để tái diễn tình trạng website bị cài cắm, đăng tải, chuyển hướng hoặc liên kết với nội dung không phù hợp. Bên cạnh đó, tăng cường giám sát và sẵn sàng các phương án xử lý khi phát hiện có dấu hiệu bị cài cắm, khai thác, tấn công mạng, đồng thời, thường xuyên theo dõi kênh cảnh báo của các cơ quan chức năng và các tổ chức lớn về an toàn thông tin để phát hiện kịp thời các nguy cơ tấn công mạng.