Nhóm hacker Nga tấn công hàng nghìn bộ định tuyến nhà riêng để đánh cắp mật khẩu

Nhóm hacker chính phủ Nga tấn công gia tăng, chiếm quyền kiểm soát hàng nghìn bộ định tuyến nhà riêng để đánh cắp mật khẩu

Fancy Bear (APT28), nhóm hacker được cho là thuộc cơ quan tình báo quân đội Nga GRU, vừa bị phát hiện thực hiện chiến dịch gián điệp quy mô toàn cầu, chiếm quyền kiểm soát hàng nghìn bộ định tuyến (router) dành cho gia đình và các doanh nghiệp nhỏ nhằm đánh cắp mật khẩu và mã thông báo xác thực.

Chiến dịch tấn công các bộ định tuyến lỗi thời

Theo thông tin từ Trung tâm An ninh mạng Quốc gia Anh (NCSC) và nhóm nghiên cứu Black Lotus Labs thuộc Lumen Technologies, Fancy Bear tập trung khai thác các lỗ hổng đã được công khai trước đó trên các thiết bị mạng phổ biến của MicroTik và TP-Link. Các router không được cập nhật phần mềm thường xuyên gây ra nguy cơ bị tấn công từ xa mà người dùng không hề hay biết.

Cách thức hoạt động của nhóm hacker

Sau khi thâm nhập thành công vào thiết bị, nhóm hacker thay đổi cấu hình router để chuyển hướng lưu lượng Internet của nạn nhân qua hệ thống của chúng. Từ đó, họ dễ dàng dẫn dụ nạn nhân truy cập các trang web giả mạo do nhóm kiểm soát nhằm đánh cắp mật khẩu và mã xác thực hai yếu tố, từ đó chiếm đoạt quyền truy cập tài khoản trực tuyến.

“Hoạt động này mang tính chất cơ hội, với phạm vi tấn công rất rộng nhằm tiếp cận nhiều nạn nhân tiềm năng. Sau đó, họ sẽ thu hẹp mục tiêu theo những thông tin tình báo được thu thập trong quá trình tấn công,” đại diện NCSC cho biết.

Quy mô và vùng ảnh hưởng

Black Lotus Labs tiết lộ ít nhất 18.000 nạn nhân tại khoảng 120 quốc gia đã bị ảnh hưởng, trong đó có các cơ quan chính phủ, lực lượng thực thi pháp luật và nhà cung cấp dịch vụ email ở châu Phi, Trung Mỹ và Đông Nam Á. Microsoft cũng công bố đã phát hiện tối thiểu 200 tổ chức và 5.000 thiết bị cá nhân bị tấn công, trong đó có ít nhất ba cơ quan chính phủ tại châu Phi.

Động thái từ các cơ quan chức năng

FBI dự kiến thông báo việc triệt phá một số tên miền do nhóm hacker này sử dụng trong chiến dịch. Lumen khẳng định họ phối hợp cùng FBI và các đối tác liên quan để phá huỷ mạng lưới botnet do Fancy Bear điều khiển, ngăn chặn các cuộc tấn công tiếp theo. Đại diện FBI chưa bình luận chính thức về vụ việc.

Lời khuyên cho người dùng Việt Nam

Việc các thiết bị router cá nhân và doanh nghiệp nhỏ bị khai thác cho thấy sự quan trọng của việc cập nhật firmware thường xuyên và sử dụng các thiết bị có bảo mật tốt. Người dùng tại Việt Nam nên:

• Kiểm tra và nâng cấp phần mềm router thường xuyên, đặc biệt với các dòng MicroTik, TP-Link.

• Thay đổi mật khẩu mặc định và thiết lập bảo mật nâng cao.

• Cẩn trọng khi truy cập các trang web, không nhập thông tin qua những đường link không rõ nguồn gốc.

• Sử dụng phần mềm bảo mật mạng tại nhà và doanh nghiệp nhỏ để phát hiện kịp thời bất thường.

Chiến dịch này thêm một lần nữa nhấn mạnh nguy cơ an ninh mạng từ những thiết bị tưởng chừng đơn giản nhưng lại rất quan trọng trong hệ sinh thái Internet gia đình và doanh nghiệp nhỏ.