DetourDog - “Bóng ma” ẩn sau 30.000 trang web

Kẻ ẩn danh số

Trong khi phần lớn người dùng Internet vẫn tin rằng các trang web quen thuộc, có giao diện rõ ràng và nội dung phổ thông là an toàn, một mạng lưới khổng lồ gồm hàng chục nghìn trang trực tuyến đã âm thầm hoạt động suốt nhiều năm qua, phát tán phần mềm độc hại mà gần như không bị phát hiện. Giới chuyên gia an ninh mạng quốc tế gọi đây là một trong những chiến dịch ngầm quy mô lớn nhất từng được phát hiện với tên mã “DetourDog”, hàm ý về khả năng đánh lạc hướng người dùng và né tránh cơ chế giám sát của các hệ thống phòng vệ kỹ thuật số.

Theo kết quả phân tích từ nhiều tổ chức an ninh mạng, chiến dịch DetourDog đã thiết lập một mạng lưới lên tới khoảng 30.000 trang web có vỏ bọc gần như hợp pháp, bao phủ nhiều lĩnh vực như tin tức, thể thao, công nghệ, thương mại điện tử, diễn đàn học thuật và blog cá nhân. Các trang này được thiết kế tinh xảo, giao diện thân thiện, nội dung cập nhật thường xuyên và được tối ưu hóa để xuất hiện trong kết quả tìm kiếm phổ biến, tạo cảm giác tin cậy cho người dùng.

Điều khiến DetourDog trở thành mối đe dọa đặc biệt không chỉ nằm ở quy mô mà còn ở mức độ ngụy trang tinh vi. Phần lớn các trang web trong mạng lưới DetourDog đều sử dụng tên miền đã từng hợp pháp, được mua lại sau khi hết hạn. Nhờ vậy, chúng thừa hưởng uy tín sẵn có trong hệ thống đánh giá của công cụ tìm kiếm, giúp vượt qua các bộ lọc an toàn thông thường. Các công cụ quét mã độc tự động và thậm chí một số nền tảng bảo mật thương mại cũng không phát hiện được dấu hiệu bất thường.

Báo cáo phân tích ban đầu cho thấy DetourDog không nhằm vào một nhóm người dùng cụ thể, mà chủ yếu tập trung vào việc mở rộng phạm vi phát tán. Các phần mềm độc hại trong mạng lưới này được thiết kế theo mô hình “đa tầng”, nghĩa là chỉ khi người dùng tải về và thực thi tệp, hệ thống mới kích hoạt mã độc thực sự. Một số tệp chỉ chứa đoạn mã ngắn, có nhiệm vụ liên hệ với máy chủ điều khiển từ xa để tải tiếp phần mã chính, đó thường là công cụ đánh cắp dữ liệu, giám sát bàn phím hoặc chiếm quyền điều khiển thiết bị.

Điều đáng chú ý là trong quá trình hoạt động, các trang thuộc mạng lưới này vẫn hiển thị nội dung bình thường, không có dấu hiệu bị chiếm dụng. Người dùng có thể đọc bài viết, xem hình ảnh hoặc tương tác như trên một trang thông tin thông thường. Chỉ khi họ thực hiện thao tác tải tệp, nhấn vào quảng cáo giả mạo hoặc đường dẫn khuyến mãi, mã độc mới bắt đầu xâm nhập hệ thống. Chính sự “bình thường hóa” này khiến hàng triệu người dùng trên toàn cầu không nhận ra nguy cơ đang cận kề.

Từ đầu năm đến nay, các tổ chức giám sát an ninh mạng quốc tế đã ghi nhận hàng nghìn lượt tải xuống tệp có chứa mã độc liên quan tới mạng lưới này. Một số mẫu được phát hiện có chức năng thu thập thông tin định danh, dữ liệu đăng nhập tài khoản ngân hàng, ví điện tử hoặc hệ thống thư điện tử doanh nghiệp. Một số khác biến máy tính nạn nhân thành công cụ trong mạng lưới tấn công tự động được điều khiển từ xa nhằm phát tán thư rác hoặc tấn công vào hệ thống doanh nghiệp.

Điều tra chỉ ra rằng, DetourDog dường như đã hoạt động âm thầm từ năm 2022, nhưng chỉ đến giữa năm 2024 mới bị phát hiện nhờ sự trùng hợp trong dữ liệu của các công cụ quét mạng. Trong suốt thời gian đó, mạng lưới vẫn thay đổi cấu trúc tên miền và máy chủ định kỳ, trung bình ba tháng một lần, để tránh bị nhận dạng. Một số tên miền cũ bị bỏ, thay thế bằng các tên miền mới có giao diện tương tự.

Truy dấu bóng tối

Sau khi mạng lưới 30.000 trang web bí mật bị phát hiện, các trung tâm phân tích an ninh mạng tại châu Âu và Bắc Mỹ đã tiến hành một chiến dịch truy vết có quy mô chưa từng có, với sự phối hợp của nhiều cơ quan giám sát kỹ thuật số, các nhà cung cấp dịch vụ lưu trữ và cả tổ chức cảnh sát quốc tế. Tuy nhiên, việc lần ra tung tích thật sự của những kẻ đứng sau DetourDog nhanh chóng trở thành một bài toán phức tạp, bởi toàn bộ cấu trúc của mạng lưới này được thiết kế theo kiểu phân tầng và ẩn danh gần như tuyệt đối.

Những dữ liệu đầu tiên cho thấy, DetourDog không chỉ lợi dụng các lỗ hổng bảo mật đơn lẻ, mà tận dụng một điểm yếu ít ai ngờ tới, đó là hệ thống định danh tên miền, hay còn gọi là DNS. Đây là nền tảng giúp người dùng truy cập vào trang web bằng tên dễ nhớ thay vì chuỗi số phức tạp. Tuy nhiên, nếu cấu hình DNS bị thay đổi hoặc khai thác sai lệch, lưu lượng truy cập có thể bị chuyển hướng sang địa chỉ khác mà người dùng không hề hay biết.

Các chuyên gia cho biết DetourDog đã tận dụng đúng điểm yếu này. Họ tạo ra hàng loạt tên miền trung gian đóng vai trò “điểm nối” giữa trang thật và máy chủ chứa mã độc. Khi người dùng truy cập vào một đường dẫn hợp pháp, yêu cầu của họ đi qua tầng DNS đã bị thay đổi, khiến họ bị điều hướng sang máy chủ chứa tệp độc hại. Mọi quy trình diễn ra chỉ trong vỏn vẹn vài phần nghìn giây, quá nhanh để người dùng hoặc trình duyệt kịp phát hiện.

Một nhà nghiên cứu tại Trung tâm Phân tích mối đe dọa mạng toàn cầu cho rằng, chiến thuật của DetourDog cho thấy tội phạm mạng ngày nay không còn tập trung vào việc “phá tường” xâm nhập mà chuyển sang “đi vòng”, lợi dụng chính cấu trúc nền tảng của Internet. Cách tiếp cận này giúp chúng duy trì hoạt động lâu dài, không bị các công cụ bảo mật chặn đứng.

Theo phân tích kỹ thuật, mã độc được phát tán thông qua mạng lưới DetourDog chủ yếu thuộc nhóm “trộm thông tin”, với một biến thể được gọi là “Strela Stealer”. Loại mã này có khả năng thu thập dữ liệu đăng nhập, cookie trình duyệt và thông tin hệ thống, sau đó gửi về máy chủ điều khiển từ xa. Đáng lo ngại hơn, DetourDog hoạt động âm thầm, không hiển thị bất kỳ dấu hiệu khả nghi nào trên máy tính của nạn nhân. Chỉ khi thiết bị bị quét toàn diện bằng phần mềm chuyên dụng, dấu vết của mã độc mới được nhận diện.

Quá trình phân tích các máy chủ trung gian cho thấy phần lớn được đặt tại những nhà cung cấp dịch vụ lưu trữ thương mại, nơi khách hàng có thể thuê không gian ảo chỉ trong vài phút và thanh toán bằng phương thức ẩn danh. Điều này khiến việc xác định người điều hành trở nên cực kỳ khó khăn. Một số chuyên gia cho rằng, mạng lưới này có thể được duy trì bằng nguồn tài chính ổn định, có tổ chức, bởi chi phí để vận hành hàng chục nghìn tên miền không hề nhỏ.

Trong nhiều tuần liền, các cơ quan an ninh mạng đã theo dõi hoạt động của các máy chủ nghi vấn, nhưng mỗi khi một địa chỉ bị phát hiện, dữ liệu lập tức được chuyển sang một vị trí khác. Sự linh hoạt này khiến nó giống như một sinh vật sống, luôn tự thích nghi, thay đổi hình dạng và vị trí để tránh bị tiêu diệt. Một chuyên gia của Tổ chức Phân tích mối đe dọa mạng châu Âu ví von: “Bạn có thể chặt một nhánh, nhưng gốc rễ của nó đã kịp mọc ở nơi khác”.

Các tổ chức quốc tế đang kêu gọi xây dựng một cơ chế phản ứng chung nhằm xử lý nhanh các chiến dịch phát tán mã độc quy mô lớn. Tuy nhiên, việc này vấp phải nhiều thách thức về quyền tài phán và quy định bảo vệ dữ liệu. Một số quốc gia cho rằng việc chia sẻ thông tin quá chi tiết về hạ tầng mạng có thể ảnh hưởng đến an ninh nội địa hoặc quyền riêng tư của người dùng. Vì thế, nhiều khi phản ứng toàn cầu đối với những chiến dịch như DetourDog vẫn mang tính bị động.

Giới nghiên cứu cho rằng nguyên nhân khiến chiến dịch này tồn tại lâu đến vậy là vì nó không tạo ra thiệt hại rõ rệt ngay lập tức. Không có hệ thống tài chính nào sụp đổ, không có tổ chức lớn nào bị tê liệt. Chính sự “im lặng” này khiến các cơ quan giám sát ít chú ý, trong khi hàng nghìn người dùng cá nhân vẫn âm thầm bị xâm nhập và thu thập dữ liệu.

Một báo cáo của nhóm chuyên gia tại Viện Công nghệ Lausanne (Thụy Sĩ) nhấn mạnh rằng, những chiến dịch như DetourDog cho thấy ranh giới giữa tội phạm mạng và hoạt động tình báo kỹ thuật số ngày càng khó phân biệt. Dù chưa có bằng chứng cho thấy có yếu tố chính trị, nhưng việc thu thập lượng lớn thông tin cá nhân có thể được sử dụng cho nhiều mục đích khác nhau, từ gian lận tài chính đến do thám công nghiệp.

Sau khi vụ việc được công bố, nhiều công ty công nghệ lớn đã bắt đầu rà soát lại toàn bộ hệ thống tên miền đang hoạt động, đặc biệt là các tên miền hết hạn bị mua lại. Một số nền tảng đã thiết lập cơ chế cảnh báo tự động khi phát hiện hành vi chuyển hướng đáng ngờ. Tuy nhiên, giới chuyên gia nhận định rằng việc này chỉ là giải pháp tạm thời. Để ngăn chặn hoàn toàn, cần có sự thay đổi ở cấp độ hạ tầng, cụ thể là tăng cường kiểm soát và xác thực trong hệ thống DNS.

Theo dữ liệu điều tra, phần lớn nạn nhân của DetourDog đều không nhận thấy bất kỳ dấu hiệu bất thường nào khi truy cập trang web. Họ chỉ phát hiện sự cố khi tài khoản trực tuyến bị truy cập trái phép hoặc thông tin cá nhân bị rò rỉ. Nhiều chuyên gia khuyến nghị người dùng nên cập nhật phần mềm thường xuyên, sử dụng xác thực hai lớp, tránh tải tệp hoặc nhấn vào đường dẫn không rõ nguồn gốc.

Đặc biệt, doanh nghiệp nên có chính sách kiểm tra định kỳ các trang web liên kết, đối tác quảng cáo và hệ thống DNS nội bộ. Trong một môi trường mà các cuộc tấn công ngày càng tinh vi, chỉ cần một mắt xích lỏng lẻo cũng có thể khiến toàn bộ chuỗi bị ảnh hưởng.

Khi một trang web hợp pháp có thể bị biến thành công cụ tấn công mà không ai hay biết, khái niệm “an toàn trực tuyến tuyệt đối” gần như không còn tồn tại. Thay vào đó, các chuyên gia khuyến nghị hướng tới mô hình “phòng thủ theo lớp”, kết hợp công nghệ phát hiện, giám sát hành vi và giáo dục người dùng.

Các tổ chức bảo mật quốc tế đang nghiên cứu phương án xây dựng hệ thống cảnh báo sớm dựa trên phân tích hành vi truy cập bất thường. Thay vì chỉ dựa vào danh sách tên miền bị chặn, hệ thống mới sẽ theo dõi mô hình lưu lượng mạng và nhận biết khi một chuỗi chuyển hướng có dấu hiệu đáng ngờ. Tuy nhiên, việc triển khai cần thời gian, chi phí và đặc biệt là sự hợp tác xuyên biên giới.

Điều cốt lõi là phải tái thiết lại cơ chế kiểm định hạ tầng mạng, trong đó mọi tên miền, máy chủ, hay trung tâm dữ liệu cần có cơ chế xác thực nguồn gốc minh bạch. Chỉ khi đó, những mạng lưới ngầm tương tự mới khó có cơ hội hình thành. Khi tội phạm mạng có thể di chuyển dữ liệu chỉ trong vài giây, việc phối hợp giữa các quốc gia lại mất hàng tuần. Khoảng cách ấy, theo nhiều chuyên gia, chính là “vùng xám” mà DetourDog và các chiến dịch tương tự lợi dụng để tồn tại.

Điều tích cực là sau khi thông tin được công bố, nhiều tổ chức đã chủ động chia sẻ dữ liệu và kinh nghiệm ứng phó. Hàng loạt công cụ giám sát DNS được cập nhật, các chiến dịch tuyên truyền nâng cao nhận thức người dùng được triển khai rộng rãi. Dù chưa thể xóa sổ hoàn toàn, nhưng DetourDog đã buộc cả cộng đồng an ninh mạng phải nhìn nhận lại cách thức bảo vệ Internet, không chỉ chống lại tấn công, mà còn phải ngăn chặn ngay từ gốc những điều kiện khiến tấn công có thể xảy ra.

Khi công nghệ tiếp tục mở rộng và Internet ngày càng gắn chặt với đời sống, những chiến dịch tương tự có thể xuất hiện với hình thức tinh vi hơn. Song, bài học đã rõ ràng: an ninh mạng không chỉ là vấn đề kỹ thuật, mà là thước đo của niềm tin và trách nhiệm chung trong một thế giới kết nối toàn cầu.