Tên miền NHS Scotland bị tấn công, chuyển hướng đến nội dung người lớn và phát trực tiếp thể thao chui

Tên miền NHS Scotland bị tấn công, chuyển hướng đến nội dung người lớn và phát trực tiếp thể thao chui

Nhiều tên miền thuộc các nhà cung cấp dịch vụ y tế tại Scotland đã bị chiếm đoạt và hiện đang chuyển hướng người dùng đến các liên kết nội dung người lớn và các luồng phát trực tiếp thể thao trái phép, theo một nhà nghiên cứu bảo mật.

Vụ việc lần đầu tiên được phát hiện bởi Nick Hatter, một cựu kỹ sư an ninh mạng hiện là nhà trị liệu tâm lý và huấn luyện viên đời sống. Ông nhận thấy một lượng lớn các liên kết được lưu trữ trên một tên miền thuộc về The New Surgery ở Kilmacolm, gần Glasgow, đã "tràn ngập" chỉ mục của Google trong vài ngày qua.

Khi kiểm tra kỹ hơn, một số liên kết dường như đã được tạo từ tháng 1.

Trang đích của tên miền này không phải là trang web hiện tại mà phòng khám đang sử dụng, nhưng có khả năng nó từng được sử dụng trong quá khứ, vì không gian tên scot.nhs.uk hiện thuộc về một nhà phát triển web có trụ sở tại Mỹ, người này sử dụng nó làm vỏ bọc cho nội dung bất hợp pháp mà nó đang lưu trữ.

Cụ thể, tên miền hiện tại của The New Surgery là www.thenewsurgery.scot.nhs.uk, trong khi tên miền đang lưu trữ các liên kết bất hợp pháp là thenewsurgery-kilmacolm-langbank.scot.nhs.uk.

The Register đã liên hệ với NHS Greater Glasgow và Clyde (NHSGGC), hội đồng y tế lớn nhất Scotland và đơn vị giám sát The New Surgery, để yêu cầu bình luận.

Một phát ngôn viên của NHSGGC cho biết: "Đội ngũ an ninh mạng của NHS Greater Glasgow và Clyde đang làm việc với Trung tâm Tối ưu An ninh mạng của Dịch vụ Công cộng Scotland để hỗ trợ một phòng khám đa khoa độc lập sau khi nhận được thông báo về việc một trang web cũ đã bị xâm phạm. Vụ việc này ảnh hưởng đến một trang web cũ được thiết lập và quản lý độc lập bởi phòng khám đa khoa đó, và không có bằng chứng cho thấy trang web chính của phòng khám hoặc bất kỳ hệ thống NHS Scotland nào ở cấp địa phương hay quốc gia bị xâm phạm."

Chúng tôi cũng đã liên hệ với NHS National Services Scotland (NSS), đơn vị quản lý tên miền scot.nhs.uk.

Trong một tuyên bố, Scott Barnett, Giám đốc An ninh Thông tin của Dịch vụ Công cộng Scotland, cho biết: "Trung tâm Tối ưu An ninh mạng (CCoE) của NHS Scotland đã được thông báo về một vấn đề bảo mật ảnh hưởng đến một trang web cũ liên quan đến một phòng khám đa khoa địa phương."

"Hiện tại, chúng tôi không nhận thấy việc lộ dữ liệu cá nhân hoặc nhạy cảm do sự cố này. Cũng không có bằng chứng cho thấy trang web chính của phòng khám hoặc bất kỳ hệ thống NHS Scotland nào ở cấp địa phương hay quốc gia bị xâm phạm."

"Đội ngũ CCoE của chúng tôi đang tiếp tục làm việc chặt chẽ với đội ngũ an ninh mạng của NHS Greater Glasgow và Clyde để hiểu nguyên nhân của vấn đề và đảm bảo nó đã được kiểm soát hoàn toàn."

Hatter cũng cho biết The Register rằng sau khi phát hiện ra sự xâm phạm ban đầu liên quan đến The New Surgery, ông đã tìm thấy hoạt động tương tự tại tên miền của Lerwick GP Practice, nằm ở quần đảo Shetland hẻo lánh.

Đối với Lerwick, tên miền hiện đang được phòng khám sử dụng chính là tên miền đang phát các liên kết bất hợp pháp. Trong khi đó, tên miền bị xâm phạm của The New Surgery đã không được dùng làm trang web chính của phòng khám trong nhiều năm.

Một tìm kiếm sử dụng Wayback Machine cho thấy tính đến năm 2019, một trong các trang web hiện đang phát các liên kết đáng ngờ thực sự là trang web từng được dùng để truy cập The New Surgery, gợi ý rằng nó đã bị xâm phạm tại một thời điểm nào đó gần đây hơn.

Trong các thảo luận liên quan đến phát hiện ban đầu về The New Surgery, Alan Woodward, giáo sư an ninh mạng tại Đại học Surrey, đã nói với The Register: "Câu hỏi lớn ở đây là, đây có phải là một phòng khám thực sự hay ai đó đang tạo ra một URL đáng ngờ để tự động chuyển hướng?"

"Dù bằng cách nào, các tên miền con scot.nhs.uk được quản lý bởi NHS Scotland, nên bằng cách nào đó, ai đó đã quản lý thiết lập một tên miền con của scot.nhs.uk, vốn lẽ ra phải nằm dưới sự kiểm soát của NHS Scotland."

"Cách rõ ràng nhất mà tôi có thể nghĩ đến là kẻ tấn công đã đánh cắp thông tin đăng nhập của quản trị viên hệ thống, truy cập bộ điều khiển DNS và thêm chuyển hướng từ một URL trông có vẻ như của một phòng khám đa khoa cụ thể nhưng thực tế thì không. Điều này gợi ý một sự xâm nhập sâu hơn là chỉ một phòng khám bị hack. Nó cũng có nghĩa là những người dùng thường xuyên của trang web GP đó sẽ không nhận thấy điều gì khác biệt, nên không ai biết nó đã tồn tại ở đó bao lâu."

Vì các tên miền nhs.uk và scot.nhs.uk là đóng, một tội phạm mạng bình thường không thể đơn giản là đăng ký một bản sao của phòng khám đa khoa trong các không gian tên này và bắt đầu lưu trữ nội dung đáng ngờ.

Việc đăng ký trang web sử dụng các không gian tên này cần sự ủy quyền chính thức thông qua trực tiếp NHS, vì vậy câu hỏi đặt ra cho NHS Scotland là làm thế nào một tên miền dưới sự kiểm soát của họ lại bị xâm phạm.

Điều tương tự cũng áp dụng cho các thay đổi bản ghi DNS, và các tên miền NHS cũng đủ điều kiện được bảo vệ theo chương trình DNS Bảo vệ của NCSC Anh, mặc dù mỗi tổ chức khu vực công phải nộp đơn đăng ký thay vì được áp dụng tự động.

Hatter nói với The Register: "Tôi đoán đây có thể là một dạng tấn công DNS nào đó hoặc một thiết lập WordPress bị xâm phạm, và khả năng sau cao hơn."

Các truy vấn Domain Information Groper (dig) cho thấy các tên miền NHS đang trỏ chính xác và an toàn đến WP Engine, gợi ý rằng sự xâm phạm nằm ở phía WordPress.

Về mặt giả thuyết, nếu việc chiếm đoạt được gây ra bởi việc khai thác lỗ hổng plugin, ví dụ, thì đây sẽ không phải là lần đầu tiên một sự việc như vậy xảy ra.

"Theo ý kiến của tôi, hoàn toàn có thể các phòng khám khác của NHS Scotland cũng dễ bị tổn thương trước cuộc tấn công này," Hatter thêm.