Nhóm tin tặc Fancy Bear của Nga tiếp tục tấn công router để chiếm quyền kiểm soát DNS

Nhóm tin tặc Fancy Bear của Nga tiếp tục tấn công router để chiếm quyền kiểm soát DNS

Trung tâm An ninh mạng Quốc gia Anh (NCSC) vừa phát đi cảnh báo mới về hoạt động tấn công mạng của nhóm APT28, còn gọi là Fancy Bear, có liên kết với tình báo Nga (GRU). Nhóm này đang khai thác các lỗ hổng trên các thiết bị router cá nhân và văn phòng nhỏ (SOHO) để thay đổi thiết lập máy chủ DNS, từ đó chuyển hướng người dùng tới các trang web giả mạo do hacker kiểm soát.

Fancy Bear và phương pháp tấn công DNS hijacking

APT28 sử dụng kỹ thuật đổi DNS trên router để khi người dùng truy cập các dịch vụ phổ biến như Outlook, họ sẽ bị chuyển hướng đến bản sao giả của trang web. Người dùng thường không hay biết và nhập tên đăng nhập và mật khẩu thật vào các trang giả mạo này, giúp hacker thu thập thông tin đăng nhập một cách dễ dàng.

NCSC cho biết các dòng router bị ảnh hưởng gồm TP-Link, Cisco và MikroTik, trong đó có nhiều thiết bị tại Ukraine – một mục tiêu nhạy cảm liên quan đến tình báo quân sự. Việc thay đổi DNS trên router cũng làm cho các thiết bị kết nối qua router như laptop, điện thoại thông minh cũng bị ảnh hưởng, tạo ra nguy cơ lây lan rộng lớn.

Tác động và khuyến nghị bảo mật

Microsoft cũng đã đồng loạt công bố nghiên cứu về chiến dịch này, thống kê có hơn 200 tổ chức và 5,000 thiết bị bị ảnh hưởng. Nhóm APT28 có thể sử dụng cổng vào này để thực hiện các cuộc tấn công sâu hơn vào môi trường doanh nghiệp hoặc triển khai các phần mềm độc hại, tấn công DDoS.

Paul Chichester, Giám đốc vận hành NCSC, nhấn mạnh:

“Hoạt động này cho thấy các lỗ hổng trong thiết bị mạng phổ biến có thể bị các diễn viên thù địch tận dụng để gây thiệt hại nghiêm trọng. Chúng tôi khuyến cáo các tổ chức và chuyên gia an ninh làm quen với các biện pháp khắc phục được nêu trong khuyến cáo và áp dụng ngay lập tức.”

Một cảnh báo trước đó của NCSC vào tháng 4/2023 cho thấy nhóm APT28 từng triển khai malware Jaguar Tooth trên các router Cisco bị tấn công để tạo cửa hậu truy cập tiếp theo.

Tầm quan trọng của bảo mật router tại Việt Nam

Tại Việt Nam, các router thương hiệu phổ biến như TP-Link cũng đang được sử dụng rộng rãi trong gia đình và văn phòng, nên nguy cơ bị tấn công tương tự là rất thực tế. Các doanh nghiệp và người dùng cá nhân cần chú ý cập nhật firmware, thay đổi mật khẩu mặc định và thực hiện các biện pháp bảo mật nâng cao để tránh bị lợi dụng.

Việc nâng cấp và quản lý an ninh cho thiết bị mạng là bước quan trọng giúp bảo vệ hệ thống trước các nhóm hacker tinh vi như Fancy Bear, đồng thời góp phần bảo đảm an toàn cho dữ liệu và hoạt động trực tuyến.

---

Sự gia tăng các chiến dịch tấn công router nhằm thay đổi DNS do các nhóm tấn công có tổ chức như Fancy Bear cảnh báo mức độ nghiêm trọng của nguy cơ an ninh mạng trong kỷ nguyên số hiện nay. Người dùng và doanh nghiệp cần nâng cao nhận thức và hành động chủ động để hạn chế thiệt hại tiềm năng.