Bạn có bao giờ nghĩ rằng những website mà bạn tin tưởng nhất lại có thể trở thành công cụ để hacker tấn công bạn không? Một kỹ thuật tấn công mới mang tên Underminr đã xuất hiện, cho phép các tác nhân đe dọa thực hiện domain-fronting attack (tấn công giả mạo tên miền) để biến các trang web đáng tin cậy thành lá chắn che giấu hoạt động độc hại của chúng. Điều đáng lo ngại là kẻ tấn công có thể sửa đổi các web request và lợi dụng uy tín của những website lớn mà không bị phát hiện. Đây không chỉ là mối đe dọa đối với người dùng cá nhân mà còn là thách thức lớn cho cả hệ thống an ninh mạng toàn cầu.

Khi hacker biến website uy tín thành 'lá chắn' hoàn hảo

Underminr domain-fronting attack hoạt động theo một cơ chế vô cùng tinh vi. Thay vì trực tiếp tấn công mục tiêu, kẻ tấn công sẽ lợi dụng hạ tầng Content Delivery Network (CDN - mạng phân phối nội dung) để che giấu nguồn gốc thực sự của các hoạt động độc hại. CDN là hệ thống máy chủ phân tán được sử dụng để tăng tốc độ truy cập website bằng cách lưu trữ nội dung tại nhiều vị trí địa lý khác nhau. Chúng tôi cho rằng đây chính là điểm yếu mà hacker đang khai thác một cách thông minh.

Quá trình tấn công diễn ra như thế này: kẻ tấn công sẽ gửi các yêu cầu HTTP có vẻ như đang truy cập vào một website hoàn toàn hợp pháp và đáng tin cậy. Tuy nhiên, bên trong các request này, họ đã khéo léo thay đổi header Host để chuyển hướng lưu lượng truy cập đến máy chủ độc hại của mình. Từ bên ngoài nhìn vào, mọi thứ đều có vẻ bình thường - các hệ thống giám sát chỉ thấy kết nối đến những trang web uy tín. Nhưng thực chất, dữ liệu đang được chuyển đến những điểm đến hoàn toàn khác biệt và nguy hiểm.

Bẫy kỹ thuật ẩn giấu trong lớp ngoài vô tội

Để hiểu rõ hơn về mức độ nguy hiểm của Underminr, chúng ta cần phân tích cơ chế hoạt động của CDN. Khi người dùng truy cập một website, CDN sẽ xác định máy chủ phù hợp nhất để phục vụ nội dung dựa trên vị trí địa lý và tải của hệ thống. Tuy nhiên, CDN chủ yếu dựa vào SNI (Server Name Indication) trong giao thức TLS để định tuyến, trong khi lại bỏ qua việc kiểm tra kỹ lưỡng header Host trong HTTP request. Đây chính là lỗ hổng mà Underminr khai thác.

Kỹ thuật này đặc biệt nguy hiểm vì nó có thể vượt qua hầu hết các biện pháp bảo mật hiện có. Các firewall (tường lửa) và hệ thống DLP (Data Loss Prevention - ngăn chặn mất mát dữ liệu) thường whitelist (đưa vào danh sách trắng) các CDN và website uy tín để đảm bảo hoạt động kinh doanh không bị gián đoạn. Chúng tôi đánh giá rằng đây chính là điểm mù trong chiến lược bảo mật của nhiều tổ chức, tạo ra cơ hội vàng cho kẻ tấn công.

Tác động lan rộng từ cá nhân đến doanh nghiệp

Underminr attack có thể gây ra những hậu quả nghiêm trọng trên nhiều cấp độ khác nhau. Đối với người dùng cá nhân, kỹ thuật này có thể được sử dụng để đánh cắp thông tin cá nhân, phát tán malware (phần mềm độc hại) hoặc thực hiện các cuộc tấn công phishing (lừa đảo) tinh vi. Về phía doanh nghiệp, những kẻ tấn công có thể lợi dụng kỹ thuật này để xâm nhập vào mạng nội bộ, đánh cắp dữ liệu nhạy cảm hoặc thực hiện các hoạt động gián điệp công nghiệp. Đặc biệt nguy hiểm, chúng có thể sử dụng danh tiếng của các thương hiệu lớn để tăng tính thuyết phục của các chiến dịch tấn công.

Tại Việt Nam, với sự phát triển mạnh mẽ của thương mại điện tử và chuyển đổi số, mối đe dọa này trở nên càng nghiêm trọng hơn. Theo báo cáo của Cục An toàn thông tin, số vụ tấn công mạng tại Việt Nam đã tăng 25% trong năm qua, và các kỹ thuật tấn công ngày càng tinh vi. Chúng tôi lo ngại rằng Underminr có thể sẽ sớm được các nhóm hacker trong khu vực áp dụng để nhắm vào các doanh nghiệp và tổ chức Việt Nam.

Chiến lược phòng thủ toàn diện cho mọi đối tượng

Để bảo vệ mình khỏi Underminr attack, các tổ chức cần thực hiện ngay một số biện pháp cấp thiết. Trước tiên, hãy triển khai deep packet inspection (kiểm tra gói tin sâu) để phân tích kỹ lưỡng nội dung của các HTTP request, không chỉ dựa vào tên miền đích. Tiếp theo, cần cấu hình lại các hệ thống firewall và proxy để kiểm tra cả SNI lẫn Host header, đảm bảo chúng khớp nhau. Đồng thời, nên triển khai certificate pinning để ngăn chặn việc sử dụng các chứng chỉ TLS không mong muốn.

Đối với người dùng cá nhân tại Việt Nam, chúng tôi khuyến nghị nên sử dụng VPN uy tín để mã hóa lưu lượng truy cập và che giấu hoạt động duyệt web. Hãy thường xuyên cập nhật trình duyệt và sử dụng các extension bảo mật như uBlock Origin để chặn các request đáng ngờ. Quan trọng nhất, hãy luôn kiểm tra kỹ URL và chứng chỉ SSL của website trước khi nhập thông tin nhạy cảm. Khi phát hiện bất kỳ dấu hiệu bất thường nào như tốc độ tải chậm hoặc nội dung hiển thị không đúng, hãy ngay lập tức ngừng truy cập và báo cáo cho bộ phận IT.