Iran cáo buộc Mỹ khai thác backdoor trong thiết bị mạng của Cisco, Juniper và các hãng khác

Iran cáo buộc Mỹ khai thác backdoor trong thiết bị mạng của Cisco, Juniper và các hãng khác

Truyền thông nhà nước Iran mới đây đã đưa ra cáo buộc nghiêm trọng cho rằng các thiết bị mạng từ những hãng công nghệ lớn như Cisco, Juniper, Fortinet và MikroTik đã bị vô hiệu hóa trong các cuộc không kích do Mỹ và Israel thực hiện. Theo báo cáo này, các thiết bị được gọi là "hộp đen" của Mỹ đã bị lỗi hoặc ngắt kết nối ngay tại thời điểm tấn công vào thành phố Isfahan, dù Iran đã thực hiện việc ngắt kết nối khỏi Internet toàn cầu từ trước đó. Sự cố này được Tehran coi là bằng chứng của một hành vi phá hoại sâu rộng vào hạ tầng kỹ thuật số.

Thiết bị mạng và hạ tầng server

Các phương tiện truyền thông Iran suy đoán rằng phần mềm nhúng (firmware) ẩn hoặc các cửa sau (backdoors) đã cho phép sự phá hoại từ xa, có thể được kích hoạt thông qua vệ tinh hoặc theo một thời gian định sẵn. Tuy nhiên, chưa có bên thứ ba nào độc lập xác minh các tuyên bố này, và do nguồn tin xuất phát từ truyền thông nhà nước, mức độ hoài nghi về tính xác thực vẫn là cần thiết.

Phản ứng từ phía Mỹ và lịch sử bảo mật của các nhà sản xuất

Mỹ chưa trực tiếp giải đáp các cáo buộc cụ thể về backdoor từ Iran, nhưng đã công khai xác nhận việc thực hiện các hoạt động tác chiến mạng chống lại hạ tầng truyền thông của nước này. Tướng Dan Caine, Chủ tịch Hội đồng Tham mưu trưởng Liên quân, cho biết trong một cuộc họp báo tại Lầu Năm Góc rằng Bộ Chỉ huy Không gian mạng Mỹ (US Cyber Command) và Bộ Chỉ huy Không gian Mỹ (US Space Command) đã đóng vai trò tiên phong trong chiến dịch mang tên "Operation Epic Fury". Các hoạt động không gian và mạng được phối hợp đã làm gián đoạn các mạng lưới truyền thông và cảm biến của Iran trước khi các cuộc không kích bắt đầu.

Hình ảnh minh họa về bảo mật mạng

Mặc dù các cáo buộc của Iran chưa được kiểm chứng, nhưng bốn nhà cung cấp được nêu tên đều có lịch sử liên quan đến các vấn đề bảo mật:

• Cisco: Các tài liệu của NSA bị rò rỉ bởi Edward Snowden vào năm 2014 cho thấy đơn vị Tác chiến Truy cập Tùy chỉnh (TAO) của cơ quan này đã chặn các bộ định tuyến Cisco trong quá trình vận chuyển để cài đặt các công cụ giám sát trước khi đóng gói lại. Cisco sau đó đã không hợp tác với chương trình này và thay đổi quy trình giao hàng để ngăn chặn việc chặn bắt.
• Juniper Networks: Năm 2015, Juniper tiết lộ việc phát hiện mã trái phép trong phần mềm ScreenOS chạy trên tường lửa NetScreen, cho phép kẻ tấn công vượt qua xác thực và giải mã lưu lượng VPN.
• Fortinet: Năm 2016, Fortinet thừa nhận các phiên bản cũ của FortiOS chứa mật khẩu SSH được mã hóa cứng, cấp quyền truy cập từ xa, mặc dù công ty mô tả vấn đề này là lỗi xác thực quản lý.
• MikroTik: Các bộ định tuyến của MikroTik thường là mục tiêu của các nhà khai thác botnet. Năm 2019, Tenable đã ghi lại một chuỗi lỗ hổng cho phép kẻ tấn công hạ cấp phần mềm nhúng và tạo ra một cửa sau persistant.

Bối cảnh rộng hơn và tình trạng Internet tại Iran

Truyền thông nhà nước Trung Quốc cũng đã nhân cơ hội này để ủng hộ các tuyên bố của Iran. Trung tâm Phản ứng Khẩn cấp Virus Máy tính Quốc gia Trung Quốc, cơ quan nhiều lần cáo buộc Mỹ bịa đặt chiến dịch hack Volt Typhoon, đã quảng bá các allegations này như một bằng chứng thêm cho việc tồn tại các backdoor của Mỹ trong phần cứng mạng.

Trong khi đó, kết nối Internet tại Iran đã bị ngắt gần như hoàn toàn trong 52 ngày liên tiếp. Mức độ kết nối chỉ đạt khoảng 1% so với mức trước chiến tranh kể từ khi các cuộc không kích bắt đầu vào ngày 28 tháng 2, đánh dấu đây là đợt ngắt Internet toàn quốc kéo dài nhất trong lịch sử ghi nhận.

Hạ tầng mạng và trung tâm dữ liệu

Sự kiện này một lần nữa làm dấy lên lo ngại về tính an toàn của chuỗi cung ứng phần cứng mạng toàn cầu, đặc biệt trong bối cảnh các cuộc xung đột quân sự ngày càng phụ thuộc vào công nghệ và tác chiến mạng.