Hàng nghìn router gia đình bị quân đội Nga biến thành công cụ gián điệp toàn cầu

Hàng nghìn router gia đình bị quân đội Nga biến thành công cụ gián điệp toàn cầu

Các nhà nghiên cứu bảo mật vừa đưa ra cảnh báo về một chiến dịch tấn công mạng quy mô lớn, trong đó quân đội Nga đã chiếm quyền kiểm soát hàng nghìn bộ định tuyến (router) dùng trong gia đình và văn phòng nhỏ. Mục tiêu của hành động này là biến các thiết bị mạng này thành công cụ để chuyển hướng người dùng vô tội đến các trang web đánh cắp mật khẩu và mã thông tin xác thực, phục vụ cho các chiến dịch gián điệp.

Theo báo cáo từ Black Lotus Labs (thuộc Lumen Technologies), ước tính có từ 18.000 đến 40.000 router tiêu dùng tại 120 quốc gia đã bị lôi kéo vào hạ tầng mạng của APT28. Đây là nhóm mối đe dọa tiên tiến (APT) trực thuộc Cục Tình báo Quân sự Main (GRU) của Nga.

Nhóm APT28 và kỹ thuật tấn công tinh vi

APT28 là một nhóm hacker nổi tiếng với lịch sử hoạt động hơn hai thập kỷ, đứng sau nhiều vụ tấn công mạng cao-profile nhắm vào các chính phủ trên toàn thế giới. Nhóm này còn được biết đến với các tên gọi khác như Pawn Storm, Sofacy Group, Sednit, Tsar Team, Forest Blizzard và STRONTIUM.

Trong chiến dịch lần này, các kỹ thuật tấn công được mô tả là có độ tinh vi cao nhưng sử dụng các phương thức đã được kiểm chứng qua thời gian. Một số lượng nhỏ router bị kiểm soát đã được sử dụng làm máy chủ trung gian (proxy) để kết nối đến một số lượng lớn router khác thuộc sở hữu của các bộ ngoại giao, cơ quan thực thi pháp luật và các cơ quan chính phủ mà nhóm này muốn theo dõi.

Thao túng DNS và đánh cắp dữ liệu

Điểm đáng lo ngại nhất là cách nhóm này sử dụng quyền kiểm soát đối với router để thay đổi các truy vấn DNS (Hệ thống tên miền). Bằng cách thay đổi cài đặt DNS trên thiết bị của nạn nhân, hacker có thể chuyển hướng lưu lượng truy cập web đến các máy chủ do họ kiểm soát.

Microsoft cho biết, các tên miền thuộc dịch vụ Microsoft 365 nằm trong số các mục tiêu bị thao túng DNS. Khi người dùng cố gắng truy cập vào các dịch vụ hợp pháp, họ có thể bị dẫn đến trang web giả mạo để nhập thông tin đăng nhập, từ đó hacker lấy cắp các token xác thực và mật khẩu để xâm nhập hệ thống mục tiêu sau này.

Nguy cơ từ thiết bị "hết vòng đời"

Đáng chú ý, các router bị tấn công chủ yếu là các thiết bị của MikroTik và TP-Link. Điểm chung của chúng là đều đã ở trạng thái "hết vòng đời" (End-of-Life - EOL), nghĩa là nhà sản xuất không còn cung cấp các bản cập nhật bảo mật hoặc hỗ trợ kỹ thuật nữa.

Đây là lỗ hổng lớn mà các nhóm hacker như APT28 tận dụng. Vì không được cập nhật vá lỗi, các thiết bị cũ kỹ này dễ bị xâm nhập thông qua các lỗ hổng bảo mật đã biết từ lâu.

Lời khuyên cho người dùng Việt Nam

Vụ việc này là lời nhắc nhở quan trọng đối với người dùng internet tại Việt Nam, nơi việc sử dụng router cũ hoặc thiết bị chia sẻ internet phổ biến rất rộng. Người dùng nên kiểm tra model router đang sử dụng và xem xét liệu nó còn được nhà sản xuất hỗ trợ hay không.

Nếu router của bạn đã hết hạn hỗ trợ, việc tốt nhất là thay thế bằng thiết bị mới hơn. Ngoài ra, người dùng cũng nên thay đổi mật khẩu quản trị mặc định của router và kiểm tra cài đặt DNS để đảm bảo không bị thay đổi trái phép sang các địa chỉ IP lạ.