Hàng loạt website cơ quan Nhà nước bị chèn link quảng cáo cờ bạc: Làm thế nào để xử lý link "bẩn"?

Phó chánh Văn phòng UBND tỉnh bị bắt vì chèn link cờ bạc vào website cơ quan Nhà nước

Cơ quan An ninh Điều tra - Công an tỉnh Quảng Nam vừa thi hành lệnh bắt tạm giam đối với ông Lê Châu Long (53 tuổi, ngụ phường 3, TP Đông Hà, Quảng Trị), Phó chánh Văn phòng UBND tỉnh Quảng Trị; Nguyễn Đăng Thông (31 tuổi, ngụ xã Tam Phước, huyện Phú Ninh, Quảng Nam), đồng thời khởi tố nhiều bị can khác liên quan đến đường dây "Đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông và Xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác" xảy ra trên địa bàn tỉnh Quảng Nam và các tỉnh, thành.

Theo điều tra, các bị can là những người có trình độ về công nghệ thông tin, từng làm việc trong các trang/cổng thông tin điện tử của các địa phương. Một số người hiện đang làm việc trong các cơ quan Nhà nước hoặc thành lập các công ty hoạt động trên lĩnh vực thiết kế website và được các sở, ban, ngành, trường học, tổ chức chính trị-xã hội, cá nhân hợp đồng thuê thiết kế, xây dựng website.

Trong thời gian từ năm 2019-2024, các bị can đã chèn các link quảng cáo vào các website tên miền ".gov.vn" của các cơ quan Nhà nước, các website tên miền ".edu.vn" của trường học để thu tiền quảng cáo trái phép.

Cơ quan điều tra xác định, việc chèn trái phép link quảng cáo dưới tên miền của các cơ quan Nhà nước, trường học... đã khiến một số người dân bị nhầm lẫn. Từ đó, họ vô tình làm lộ thông tin cá nhân hoặc bị chiếm đoạt các tài khoản mạng xã hội, tài khoản ngân hàng... và bị các đối tượng lợi dụng để thực hiện hành vi chiếm đoạt tài sản.

Nguy hiểm hơn, các link quảng cáo này chuyển hướng đến các trang cá độ, đánh bạc, quảng cáo cờ bạc trái phép trên mạng, gây ảnh hưởng rất lớn đến uy tín của các cơ quan Nhà nước, tổ chức chính trị, xã hội.

Đồng thời, hành vi này tiềm ẩn nguy cơ mất an ninh mạng, an toàn thông tin, gia tăng tội phạm về cá độ, đánh bạc trực tuyến, mại dâm…

Nhiều website cơ quan nhà nước bị chèn nội dung quảng cáo không phù hợp

Hồi tháng 9/2023, theo công bố kết quả rà soát của Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) - Cục An toàn thông tin (Bộ TT&TT), hệ thống đã ghi nhận 18 tỉnh, thành phố và 10 bộ, ngành còn tồn tại 67 website cơ quan nhà nước có tên miền ".gov.vn" bị lợi dụng chèn nội dung quảng cáo không phù hợp. Cụ thể, nhiều website bị lợi dụng đăng tải, chuyển hướng, liên kết với nội dung quảng cáo không phù hợp như game bài, cờ bạc…

Những tệp tin này xuất hiện trong kết quả tìm kiếm của Google và thực hiện chuyển hướng người dùng sang website khác khi người dùng truy cập đường dẫn. Điều này trở nên nguy hiểm nếu website bị lợi dụng để đăng tải, phát tán những nội dung xấu độc, xuyên tạc về chủ quyền, chủ trương của Đảng và chính sách, pháp luật của Nhà nước.

Trong đó, 10 bộ, ngành có website bị lợi dụng chèn nội dung quảng cáo không phù hợp, gồm các Bộ: Công Thương; Giáo dục và Đào tạo; Giao thông vận tải, Khoa học và Công nghệ; Lao động, Thương binh và Xã hội; Nội vụ; Nông nghiệp và Phát triển nông thôn; Y tế; Văn hóa, Thể thao và Du lịch và Viện Kiểm sát nhân dân tối cao.

18 tỉnh, thành phố gồm: Hà Tĩnh, Tuyên Quang, Đà Nẵng, Điện Biên, Đồng Nai, Hà Nội, Hải Dương, Hải Phòng, Thành phố Hồ Chí Minh, Kon Tum, Lai Châu, Phú Thọ, Quảng Bình, Quảng Nam, Quảng Ninh, Quảng Trị, Thái Bình và Thanh Hóa.

Ngoài ra, hệ thống kỹ thuật của NCSC cũng ghi nhận có 57.916 điểm yếu, lỗ hổng an toàn thông tin tại các hệ thống thông tin của các cơ quan tổ chức nhà nước. Số lượng điểm yếu, lỗ hổng nêu trên là rất lớn.

Nguyên nhân, phương thức, hậu quả chèn link độc hại vào website

Phía sau các đường link độc hại trên website là một mạng lưới tội phạm mạng tinh vi, sử dụng nhiều phương thức tấn công đa dạng và ngày càng tinh vi để khai thác lỗ hổng bảo mật và trục lợi bất chính.

Nguyên nhân website bị chèn link độc hại

Kẻ tấn công ngày càng tinh vi

Các tin tặc luôn tìm cách lợi dụng không gian mạng để chèn link cờ bạc, cá cược, đặc biệt là trong thời gian diễn ra các sự kiện lớn như EURO, World Cup, Copa America,… Chúng tạo ra hàng loạt website cá độ với máy chủ đặt tại nước ngoài và đẩy mạnh quảng cáo để lôi kéo người tham gia vào các hoạt động cá cược trái phép. Tin tặc tấn công, chiếm quyền kiểm soát máy chủ, chèn mã độc và chuyển hướng người dùng đến các trang cờ bạc với các từ khóa liên quan như "xocdia", "taixiu", "go88", "hitlub"…

Black Hat SEO (SEO mũ đen) nhắm vào website uy tín

Các tổ chức nhà nước và giáo dục với tên miền ".gov.vn" và ".edu.vn" có độ uy tín cao, thường là mục tiêu của các chiến dịch Black Hat SEO. Tin tặc khai thác backlink từ các trang web này để nhanh chóng tăng thứ hạng tìm kiếm cho các website bất hợp pháp, tiếp cận lượng lớn người dùng tiềm năng.

Thiếu đầu tư cho an ninh mạng

Nhiều đơn vị, đặc biệt là các cơ quan công lập và giáo dục, chưa nhận thức đầy đủ tầm quan trọng của an ninh mạng, dẫn đến việc thiếu đầu tư cho bảo mật. Điều này khiến việc quản trị, cập nhật và giám sát tình trạng website không được thực hiện thường xuyên và hiệu quả, tạo ra những lỗ hổng bảo mật tiềm ẩn, dễ bị tin tặc khai thác.

Các hình thức tấn công phổ biến

Website thường bị tấn công và khai thác lỗ hổng bảo mật để chèn backlink xấu, làm lây nhiễm mã độc hoặc hiển thị nội dung không phù hợp. Backlink xấu xuất phát từ hoạt động Black Hat SEO, khi các tin tặc sử dụng mọi thủ đoạn để giành lấy thứ hạng cao trên kết quả tìm kiếm. Các hình thức tấn công phổ biến thường bao gồm:

Spam index

Tin tặc lợi dụng các form không được kiểm duyệt trên website để nhồi nhét từ khóa.

File upload:

Tấn công bằng cách khai thác lỗ hổng cho phép tải lên các tệp chứa từ khóa SEO.

Tin tặc lợi dụng các lỗ hổng trên máy chủ, thư viện dùng chung, plugin, tài khoản quản trị yếu, hoặc cơ sở dữ liệu để chiếm quyền kiểm soát website và chèn link độc hại. Các lỗ hổng bảo mật thường bị khai thác bao gồm:

Khai thác lỗ hổng bảo mật:

Tin tặc lợi dụng các lỗ hổng trên máy chủ, thư viện dùng chung, plugin, tài khoản quản trị yếu, hoặc cơ sở dữ liệu để chiếm quyền kiểm soát website và chèn link độc hại. Các lỗ hổng bảo mật thường bị khai thác bao gồm:

- Máy chủ sử dụng hệ điều hành cũ, chưa được cập nhật bản vá.

- Website sử dụng thư viện dùng chung có chứa lỗ hổng bảo mật.

- Lỗ hổng trong các plugin được cài đặt trên website.

- Tài khoản quản trị có mật khẩu yếu.

- Tài khoản kết nối cơ sở dữ liệu có mật khẩu không đủ mạnh.

- Máy chủ có phân quyền lỏng lẻo, dễ bị lây lan sang các website khác trên cùng máy chủ.

Hậu quả của việc chèn link độc hại vào website

Chèn link độc hại, đặc biệt là link liên quan đến cá cược và cờ bạc, vào các website đang diễn ra ngày càng phổ biến và tinh vi, gây ra những hệ lụy nghiêm trọng cho doanh nghiệp và tổ chức. Tác động tiêu cực từ việc chèn link cờ bạc, cá cược chủ yếu qua 4 khía cạnh chính như sau:

Gây tổn hại uy tín

Hình ảnh và danh tiếng của tổ chức bị ảnh hưởng nghiêm trọng khi website bị liên kết với các hoạt động phi pháp và nội dung độc hại. Điều này đặc biệt nghiêm trọng đối với các cơ quan chính phủ, tổ chức giáo dục và doanh nghiệp có thương hiệu uy tín, gây mất lòng tin từ công chúng và đối tác.

Giảm lưu lượng truy cập

Website bị gắn cờ cảnh báo bởi các công cụ tìm kiếm và trình duyệt web, dẫn đến việc giảm thứ hạng trên kết quả tìm kiếm, làm giảm đáng kể lượng người truy cập và khả năng tiếp cận khách hàng tiềm năng.

Thiệt hại tài chính

Sự sụt giảm lưu lượng truy cập trực tiếp tác động tiêu cực đến hoạt động kinh doanh trực tuyến, gây thiệt hại về doanh thu và mất đi cơ hội kinh doanh của doanh nghiệp.

Chi phí tốn kém

Doanh nghiệp phải đối mặt với chi phí đáng kể để khắc phục hậu quả của cuộc tấn công, bao gồm việc vá các lỗ hổng bảo mật, nâng cấp hệ thống và triển khai các biện pháp bảo mật mới. Điều này có thể gây gián đoạn hoạt động kinh doanh và làm tăng chi phí vận hành.

Cách khắc phục và phòng, chống tình trạng website bị chèn link cờ bạc, cá độ

Để bảo vệ website khỏi các cuộc tấn công mạng và sự xâm nhập của các liên kết độc hại, việc áp dụng các biện pháp phòng ngừa và khắc phục kịp thời không chỉ là cần thiết mà còn là bắt buộc đối với mọi tổ chức và doanh nghiệp.

Cách xử lý backlink xấu

Đối với các website đã bị tấn công:

- Thêm header hoặc thẻ no-index cho các đường dẫn uploads để ngăn chặn công cụ tìm kiếm index các đường dẫn, tệp do người dùng gửi lên.

- Gỡ bỏ các tệp PDF chứa nội dung backlink.

- Dò quét lỗ hổng website, cập nhật lại các bản vá của hệ điều hành.

- Xác định và vá các lỗ hổng XSS hoặc liên quan đến phần tìm kiếm.

- Xác định và vá các lỗ hổng Upload file.

- Liệt kê các đường dẫn bài viết đã bị Google index liên quan đến quảng cáo và yêu cầu xóa bỏ.

Đối với các website chưa bị tấn công:

- Thêm header hoặc thẻ no-index cho các đường dẫn uploads để ngăn chặn công cụ tìm kiếm index các đường dẫn, tệp do người dùng gửi lên.

- Rà soát lỗ hổng XSS, File upload, SQL Injection, các CVE và chức năng tìm kiếm của website.

Cách xử lý chèn link độc hại do khai thác lỗ hổng

- Rà quét website chưa bị chèn backlink để xác định các lỗ hổng RCE, SQL-Injection, các CVE, và vá các lỗ hổng này.

- Kiểm tra mã nguồn toàn bộ các trang web trên máy chủ bị chèn backlink, chú ý đến các lỗ hổng liên quan đến SQL Injection, Telerik. Hạn chế việc sử dụng chung host cho nhiều trang web, vì điều này có thể gây "tái nhiễm" sau khi đã làm sạch máy chủ.

- Kiểm tra mã độc trên các module IIS bằng cách:

+ Sử dụng sigcheck để xác minh các module được ký bởi các nhà cung cấp đáng tin cậy.

+ Sử dụng YARA rule của ESET để phát hiện mã độc.

- Gỡ bỏ các module IIS độc hại sau khi đã kiểm tra trên Virustotal hoặc đối chiếu với danh sách các module cần thiết của trang web.

- Cập nhật thường xuyên hệ điều hành và bản vá, cẩn thận xem xét những dịch vụ nào tiếp xúc với internet để giảm nguy cơ khai thác máy chủ.

Để giảm thiểu nguy cơ bị tấn công và chèn link độc hại, các tổ chức và doanh nghiệp cần chủ động thực hiện các biện pháp bảo mật toàn diện. Việc rà soát định kỳ hệ thống website, đặc biệt kiểm tra kỹ lưỡng các trang mã nguồn, và thay đổi mật khẩu quản trị và mật khẩu truy cập cơ sở dữ liệu định kỳ là những biện pháp phòng ngừa hiệu quả.

Đồng thời, việc đánh giá tổng thể hệ thống, xác định lỗ hổng bảo mật tiềm ẩn, và sử dụng công cụ giám sát tự động để phát hiện các thay đổi bất thường trên website cũng là những giải pháp hữu ích trong việc đảm bảo an ninh mạng toàn diện.

Chuyên gia công nghệ khuyến cáo gì?

Theo ông Vũ Ngọc Sơn, Giám đốc Công nghệ - Công ty Công nghệ An ninh mạng Quốc gia Việt Nam (NCS), các lỗ hổng bị khai thác trên các hệ thống website đều là các lỗ hổng cơ bản và có thể khắc phục được. NCS khuyến cáo các quản trị cần rà soát sớm toàn bộ hệ thống website để xử lý. Đặc biệt các trường hợp có host chung server với các website khác thì cần rà soát toàn bộ các website này.

Cũng theo ông Sơn hình thức tấn công này trước đây đã khá phổ biến, tuy nhiên gần đây có dấu hiệu bùng phát và mang lại nhiều nguy cơ an ninh mạng cho người dùng. Đặc biệt nguy hiểm nếu các đường link "chính chủ" https này được dùng để phát tán các link lừa đảo, ăn cắp thông tin thì người dùng rất dễ bị mắc bẫy.

Tổng kết lại các vụ việc đã hỗ trợ, NCS nhận thấy có các hình thức tấn công phổ biến như: tấn công vào máy chủ cài hệ điều hành cũ, chưa vá lỗ hổng; tấn công vào các website sử dụng thư viện dùng chung, có lỗ hổng; tấn công vào các tài khoản quản trị có mật khẩu yếu; tấn công vào các tài khoản kết nối cơ sở dữ liệu có mật khẩu yếu; tấn công vào máy chủ phân quyền không chặt, từ lỗ hổng của một website có thể tấn công sang các website khác nằm cùng máy chủ.

Do đó, chuyên gia bảo mật khuyến cáo các quản trị viên cần sớm rà soát toàn bộ hệ thống website đang quản lý, chú trọng kiểm tra các trang mã nguồn, cần chú ý đặc biệt đến những tập tin mới được tạo hoặc có thời gian tạo khác biệt với phần lớn các file khác trong cùng thư mục.

"Đổi các mật khẩu quản trị, mật khẩu truy cập cơ sở dữ liệu nếu đang để chuỗi bảo mật yếu. Nếu được có thể thực hiện đánh giá tổng thể an ninh mạng cho hệ thống, đồng thời triển khai các giải pháp giám sát tự động nhằm phát hiện ra thay đổi bất thường, từ đó có xử lý kịp thời", ông Vũ Ngọc Sơn tư vấn.