FBI cảnh báo người dùng khởi động lại router để tránh bị tin tặc Nga thực hiện việc gián điệp

[therealrtz]

Cách đây ít ngày, có hơn 500.000 thiết bị router bị dính mã độc “VPNfilter”. Mã độc này có thể ảnh hưởng đến kết nối Internet, biến thiết bị của bạn thành một phần của mạng lưới botnet toàn cầu để Nga thực hiện nghiệp vụ gián điệp.

FBI vừa ra cảnh báo tới tất cả mọi người khởi động lại router để tránh bị tin tặc Nga thực hiện việc gián điệp. Đặc biệt nếu tên thiết bị của bạn nằm trong danh sách đen khẩn.

Trong một thông báo gần đây của Bộ Tư pháp Mỹ - FBI khuyến nghị người dùng nên khởi động lại router của mình ngay lập tức. Theo FBI, hành động này sẽ giúp chính phủ Mỹ phá hủy mạng botnet trước khi nhóm tin tặc người Nga có tên Sofacy tăng cường khả năng phòng vệ của mã độc VPNfilter.

FBI cho rằng "Sofacy Group" là "những kẻ đứng sau" phần mềm độc hại này, đồng thời cũng chính là những kẻ đã hack vào Hội đồng Dân chủ Quốc gia trước cuộc bầu cử tổng thống vào năm 2016.


Thông báo của FBI về mã độc VPNfilter

Theo FBI, việc tắt router sẽ tạm thời ngắt liên lạc của malware với mạng lưới chủ của nó. Khi bạn bật lại router, malware sẽ cố gắng liên lạc lại với mạng lưới của nó, và địa chỉ IP của router bị nhiễm sẽ được ghi nhận bởi FBI. Bộ Tư pháp Mỹ cũng cho biết thêm, họ đã chiếm quyền điều khiển toknowall.com, hệ thống tên miền mà các tin tặc người Nga sử dụng để thực hiện hành động gián điệp.

"Điều này sẽ giúp nhận diện những thiết bị đã bị nhiễm và ngăn hacker chiếm lấy các thông tin cá nhân nhạy cảm hoặc thực hiện các cuộc tấn công mạng", thông cáo của Bộ Tư Pháp Mỹ cho biết.

VPNFilter là loại mã độc tinh vi, có nhiều giai đoạn tấn công, có thể đánh cắp thông tin đăng nhập website và theo dõi các hệ thống điều khiển công nghiệp SCADA, chẳng hạn như hệ thống lưới điện và cơ sở hạ tầng công nghiệp. Không giống như hầu hết các loại mã độc khác, khi đã lây nhiễm thành công VPNFilter sẽ tiến hành khởi động lại thiết bị, từ đó tạo được kết nối lâu dài và cài đặt mã độc phục vụ cho giai đoạn hai.

Đặc trưng của mạng botnet sử dụng mã độc VPNFilter là thư mục có đường dẫn /var/run/vpnfilterw được tạo ra trong quá trình cài đặt.

Do đó, FBI khuyến nghị các chuyên gia an toàn thông tin trong trường hợp nghi ngờ thiết bị đã bị lây nhiễm bởi mạng mã độc này, người dùng nên thực hiện cài đặt lại thiết bị về mặc định để xóa mã độc và cập nhật firmware càng sớm càng tốt.

Danh sách các bộ định tuyến (router) có thể bị ảnh hưởng, đã được công bố bao gồm:

- Linksys (gồm các model E1200, E2500 & WRVS4400N);

- Mikrotik RouterOS Versions for Cloud Core Routers (các phiên bản 1016, 1036 & 1072);

- Netgear (các model DGN2200, R6400, R7000, R8000, WNR1000 & WNR2000);

- QNAP (các model TS251 & TS439 Pro);

- Các thiết bị QNAP NAS chạy phần mềm QTS;

- TP-Link R600VPN.


Mọi người được yêu cầu khởi động lại router để các mã độc này bị định vị và giải quyết bởi FBI

Trong thời gian qua, tại Việt Nam, Cục An toàn thông tin đã liên tục phát cảnh báo về các lỗ hổng, điểm yếu an toàn thông tin. Đơn cử như, trong tuần 20/2018, theo thông tin từ Trung tâm Xử lý tấn công mạng Internet Việt Nam thuộc Cục An toàn thông tin, trong tuần các tổ chức quốc tế đã phát hiện công bố ít nhất 327 lỗ hổng trong đó có 26 lỗ hổng RCE (cho phép chèn và thực thi mã lệnh); 8 lỗ hổng đã có mã khai thác...

Cũng trong tuần 20/2018, Trung tâm Xử lý tấn công mạng Internet Việt Nam cho biết: hệ thống kỹ thuật của Cục An toàn thông tin chủ động rà quét trên không gian mạng Việt Nam, đánh giá, thống kê cho thấy có 8 nhóm lỗ hổng trên các sản phẩm, dịch vụ CNTT phổ biến, có thể gây ảnh hưởng lớn đến người dùng ở Việt Nam, như:

+ Nhóm 81 lỗ hổng trên nhiều phiên bản Foxit Reader; nhóm 37 lỗ hổng trên nhiều sản phẩm của Adobe (Acrobat and Reader, Flash player, Cold Fusion,…) cho phép đối tượng tấn công thu thập thông tin, nhiều lỗ hổng cho phép chèn và thực thi mã lệnh, đưa tập tin độc hại lên hệ thống, tấn công leo thang và chiếm quyền quản trị;

+ Nhóm 3 lỗ hổng trên firmware của một số dòng các dòng thiết bị định tuyến router ASUS (RT-AC1200HP, RT-AC68U, RT-AC87U) cho phép đối tượng thực hiện chèn và thực thi đoạn mã độc hại để chiếm quyền kiểm soát thiết bị;

+ Nhóm 17 lỗ hổng trên một số sản phẩm, dịch vụ của Cisco (Digital Network Architecture Center, Interprise NFV Infrastructure Software, Indentity Service Engine,…) cho phép đối tượng không chế thiết bị, chiếm quyền quản trị hoặc thực hiện các hình thức tấn công XSS, XFS, nhiều lỗ hổng cho phép chèn và thực thi mã lệnh;

+ Nhóm 3 lỗ hổng trên một số dòng router của D_link (DIR-550A, DIR-604M, DIR-816 A2) cho phép đối tượng thực thi mã lệnh và truy cập trái phép vào thiết bị…

Therealrtz © VietBF