Website các trường đại học hàng đầu bị chiếm dụng để phát tán nội dung đồi trụy do sơ suất quản lý
Hàng trăm tên miền phụ thuộc các trường đại học danh tiếng như Berkeley hay Columbia đang bị tin tặc lợi dụng để hiển thị nội dung khiêu dâm và trang web lừa đảo. Vụ việc này bắt nguồn từ việc các quản trị viên quên xóa các bản ghi DNS cũ sau khi ngừng hoạt động.
Website các trường đại học hàng đầu bị chiếm dụng để phát tán nội dung đồi trụy do sơ suất quản lý
Hàng trăm tên miền phụ thuộc các trường đại học danh tiếng như Berkeley hay Columbia đang bị tin tặc lợi dụng để hiển thị nội dung khiêu dâm và trang web lừa đảo. Vụ việc này bắt nguồn từ việc các quản trị viên quên xóa các bản ghi DNS cũ sau khi ngừng hoạt động.
Các trường đại học danh tiếng trở thành nạn nhân
Gần đây, một nhà nghiên cứu bảo mật đã phát hiện rằng các website thuộc về những trường đại học danh tiếng nhất thế giới đang bị lợi dụng để phân phối nội dung khiêu dâm rõ ràng và mã độc. Trong số các nạn nhân có tên của Đại học California, Berkeley (berkeley.edu), Đại học Columbia (columbia.edu) và Đại học Washington ở St. Louis (washu.edu).
Cụ thể, các tên miền phụ như causal.stat.berkeley.edu hay provost.washu.edu đang chứa các đường dẫn dẫn đến nội dung người lớn hoặc các tệp PDF độc hại. Trong một số trường hợp, người truy cập sẽ bị chuyển hướng đến một trang web lừa đảo, tự động thông báo sai rằng máy tính của họ đã bị nhiễm virus và yêu cầu thanh toán phí để loại bỏ phần mềm độc hại không có thực.
Theo Alex Shakhov, nhà nghiên cứu tại SH Consulting, tổng cộng có hàng trăm tên miền phụ của ít nhất 34 trường đại học đang bị lạm dụng theo cách này. Kết quả tìm kiếm trên Google cho thấy hàng nghìn trang đã bị chiếm đoạt.
Cơ chế tấn công: Sơ suất trong quản lý bản ghi DNS
Shakhov chỉ ra rằng nhóm tin tặc đứng sau vụ việc—được một nhà nghiên cứu khác liên kết với nhóm có tên Hazy Hawk—đang khai thác một sai sót hành chính của các quản trị viên website trường đại học.
Quy trình diễn ra như sau:
- Khi quản trị viên tạo một tên miền phụ (ví dụ:
provost.washu.edu), họ tạo một bản ghi CNAME để gán URL này cho địa chỉ IP đang lưu trữ tên miền phụ đó. - Khi tên miền phụ này không còn được sử dụng và bị ngừng hoạt động (điều này diễn ra thường xuyên vì nhiều lý do), bản ghi CNAME không bao giờ được xóa bỏ.
- Lúc này, bản ghi CNAME trở nên "treo lơ lửng" (dangling).
- Những kẻ lừa đảo như Hazy Hawk sẽ nhanh chóng đăng ký tên miền cơ sở (domain gốc) trong URL cũ mà trường đại học đã từng trỏ tới.
- Kết quả là tên miền phụ uy tín của trường đại học giờ đây sẽ trỏ trực tiếp đến nội dung do tin tặc kiểm soát.
Bài học về vệ sinh hệ thống
Vụ việc này là một lời nhắc nhở đau đớn về tầm quan trọng của việc "dọn dẹp" hệ thống (system hygiene). Việc quản lý tài sản kỹ thuật số không chỉ là tạo mới mà còn phải bao gồm việc dọn dẹp các tài nguyên cũ, các bản ghi DNS không còn sử dụng để tránh bị kẻ xấu lợi dụng uy tín của tổ chức.
Với hàng nghìn trang tìm kiếm bị ảnh hưởng, các trường đại học cần tiến hành rà soát ngay lập tức các bản ghi DNS của mình để ngăn chặn việc lạm dụng tên miền tiếp diễn.
