Cảnh sát Hà Lan giải cứu 17 triệu thiết bị khỏi mạng botnet bí ẩn

Cảnh sát Hà Lan tuyên bố đã tháo dỡ một mạng botnet lớn trong tuần này, bao gồm ít nhất 17 triệu thiết bị bị nhiễm mã độc. Sau khi nhận được thông tin từ một nhà nghiên cứu tại Trung tâm An ninh Mạng Quốc gia Hà Lan (NCSC-NL), cảnh sát đã bắt đầu điều tra và phát hiện ra 200 máy chủ làm nền tảng hạ tầng cho mạng botnet này nằm trong nước.

Các chuyên gia tội phạm mạng tại Đơn vị Cảnh sát The Hague đã thu giữ một số máy chủ từ một nhà cung cấp dịch vụ lưu trữ để phân tích thêm, và nhà cung cấp này sau đó đã ngắt kết nối mạng botnet sau khi nhận thấy nó đang được sử dụng cho "mục đích tội phạm".

Mối đe dọa từ Botnet và Proxy dân dụng

Botnet có thể được sử dụng cho nhiều loại tội phạm mạng khác nhau, nhưng các quan chức không nêu rõ mạng botnet cụ thể này được dùng để làm gì. Cảnh sát chỉ nêu các loại hình lạm dụng chung, bao gồm lừa đảo (phishing), phát động các cuộc tấn công từ chối dịch vụ (DDoS) và lừa đảo trực tuyến.

Cả cảnh sát lẫn NCSC-NL đều không tiết lộ tên của mạng botnet này - một điều kỳ lạ đối với các vụ triệt phá kiểu này - và cũng không chi tiết chính xác những thiết bị nào bị lôi kéo vào đó. Tuy nhiên, thông báo của cả hai tổ chức đều xác định các thiết bị tiêu dùng có bảo mật kém như bộ định tuyến (router), thiết bị di động và phần cứng IoT là những ví dụ phổ biến.

Cả hai cơ quan cũng khuyên người dùng không nên dựa vào mật khẩu mặc định cho phần cứng mới, tránh cài đặt ứng dụng từ các nguồn không chính thức và giữ cho phần mềm luôn được cập nhật.

Ngay trước khi cảnh sát thông báo về việc triệt phá botnet, NCSC-NL đã đăng một bài blog nhấn mạnh sự gia tăng của các mạng proxy dân dụng (residential proxy networks) được sử dụng cho mục đích độc hại, gọi đây là một "xu hướng đáng lo ngại".

Botnet và mạng proxy dân dụng thường được nhắc đến cùng nhau, vì cả hai đều yêu cầu đăng ký các thiết bị hợp pháp vào một mạng lưới rộng lớn hơn, mặc dù chúng thường được sử dụng cho các mục đích khác nhau.

Nguy cơ tiềm ẩn

Các mạng proxy dân dụng là khác biệt. Chúng hợp pháp, và bạn có thể tìm thấy các nhà khai thác lớn quảng cáo dịch vụ của họ trên web mở, thường quảng bá lợi ích quyền riêng tư, mặc dù các chuyên gia đồng ý rằng các mạng này là một vấn đề và thường bị lạm dụng nhiều hơn là sử dụng cho mục đích tốt.

Dù muốn hay không - thường là không muốn - người tiêu dùng có địa chỉ IP của họ được đăng ký vào các mạng này, cũng được tội phạm mạng sử dụng để che giấu nguồn thực của lưu lượng độc hại, gây khó khăn cho việc phản ứng sự cố mạng.

Các proxy này có thể được sử dụng cho các cuộc tấn công DDoS, tương tự như cách botnet dựa vào các thiết bị bị xâm phạm, cũng như các thủ đoạn khác như lừa đảo, tấn công brute-force, vượt qua các kiểm tra du lịch bất khả thi và phân phối mã độc.

"Việc lạm dụng proxy dân dụng khiến việc lập bản đồ các mối đe dọa và tấn công kỹ thuật số trở nên khó khăn hơn," NCSC-NL viết. "Khi quy mô của các cuộc tấn công kỹ thuật số tăng lên, khả năng phục hồi của các tổ chức có thể chịu áp lực. Ngoài ra, thiết bị của những người dùng không nghi ngờ có thể trở thành một phần của các mạng proxy như vậy, thường mà không hay biết. Theo cách này, người tiêu dùng vô tình trở thành một phần của tội phạm mạng."

Xu hướng an ninh mạng tại Hà Lan

Vào thứ Năm, ngay sau khi cảnh sát thông báo về việc triệt phá botnet và lo ngại về sự gia tăng của mạng proxy dân dụng, NCSC-NL đã công bố báo cáo theo dõi tội phạm mạng thường niên của mình. Báo cáo cho thấy các cuộc tấn công mạng vào các công ty Hà Lan đã giảm xuống mức thấp nhất trong chín năm.

Theo dữ liệu năm 2024, dữ liệu mới nhất có sẵn, chỉ có bốn phần trăm tổ chức báo cáo một cuộc tấn công mạng từ bên ngoài so với 11 phần trăm vào năm 2016. Báo cáo lưu ý xu hướng giảm này rõ rệt ở mọi quy mô công ty.

Lừa đảo và giả mạo (spoofing) là loại hình tấn công phổ biến nhất, với 23 phần trăm tổ chức trải qua điều này ở một mức độ nào đó. Ở khía cạnh khác, các cuộc tấn công liên quan đến DDoS, vi phạm dữ liệu, lừa đảo qua email doanh nghiệp (BEC) và ransomware mỗi loại chỉ được khoảng một phần trăm tổ chức báo cáo.

NCSC-NL liên kết sự cải thiện này với việc áp dụng rộng rãi hơn xác thực đa yếu tố (MFA). Cơ quan này cho biết công nghệ này thực sự phổ biến ở các tổ chức lớn, với 87% triển khai vào năm 2025, tăng từ 71% vào năm 2017. Đối với các tổ chức nhỏ hơn, mức độ áp dụng còn ấn tượng hơn, tăng gấp hơn hai lần lên 79% so với 29% của tám năm trước.