Cách đây ít ngày, có hơn 500.000 thiết bị router bị dính mă độc “VPNfilter”. Mă độc này có thể ảnh hưởng đến kết nối Internet, biến thiết bị của bạn thành một phần của mạng lưới botnet toàn cầu để Nga thực hiện nghiệp vụ gián điệp.
FBI vừa ra cảnh báo tới tất cả mọi người khởi động lại router để tránh bị tin tặc Nga thực hiện việc gián điệp. Đặc biệt nếu tên thiết bị của bạn nằm trong danh sách đen khẩn.
Trong một thông báo gần đây của Bộ Tư pháp Mỹ - FBI khuyến nghị người dùng nên khởi động lại router của ḿnh ngay lập tức. Theo FBI, hành động này sẽ giúp chính phủ Mỹ phá hủy mạng botnet trước khi nhóm tin tặc người Nga có tên Sofacy tăng cường khả năng pḥng vệ của mă độc VPNfilter.
FBI cho rằng "Sofacy Group" là "những kẻ đứng sau" phần mềm độc hại này, đồng thời cũng chính là những kẻ đă hack vào Hội đồng Dân chủ Quốc gia trước cuộc bầu cử tổng thống vào năm 2016.
Thông báo của FBI về mă độc VPNfilter
Theo FBI, việc tắt router sẽ tạm thời ngắt liên lạc của malware với mạng lưới chủ của nó. Khi bạn bật lại router, malware sẽ cố gắng liên lạc lại với mạng lưới của nó, và địa chỉ IP của router bị nhiễm sẽ được ghi nhận bởi FBI. Bộ Tư pháp Mỹ cũng cho biết thêm, họ đă chiếm quyền điều khiển toknowall.com, hệ thống tên miền mà các tin tặc người Nga sử dụng để thực hiện hành động gián điệp.
"Điều này sẽ giúp nhận diện những thiết bị đă bị nhiễm và ngăn hacker chiếm lấy các thông tin cá nhân nhạy cảm hoặc thực hiện các cuộc tấn công mạng", thông cáo của Bộ Tư Pháp Mỹ cho biết.
VPNFilter là loại mă độc tinh vi, có nhiều giai đoạn tấn công, có thể đánh cắp thông tin đăng nhập website và theo dơi các hệ thống điều khiển công nghiệp SCADA, chẳng hạn như hệ thống lưới điện và cơ sở hạ tầng công nghiệp. Không giống như hầu hết các loại mă độc khác, khi đă lây nhiễm thành công VPNFilter sẽ tiến hành khởi động lại thiết bị, từ đó tạo được kết nối lâu dài và cài đặt mă độc phục vụ cho giai đoạn hai.
Đặc trưng của mạng botnet sử dụng mă độc VPNFilter là thư mục có đường dẫn /var/run/vpnfilterw được tạo ra trong quá tŕnh cài đặt.
Do đó, FBI khuyến nghị các chuyên gia an toàn thông tin trong trường hợp nghi ngờ thiết bị đă bị lây nhiễm bởi mạng mă độc này, người dùng nên thực hiện cài đặt lại thiết bị về mặc định để xóa mă độc và cập nhật firmware càng sớm càng tốt.
Danh sách các bộ định tuyến (router) có thể bị ảnh hưởng, đă được công bố bao gồm:
- Linksys (gồm các model E1200, E2500 & WRVS4400N);
- Mikrotik RouterOS Versions for Cloud Core Routers (các phiên bản 1016, 1036 & 1072);
- Netgear (các model DGN2200, R6400, R7000, R8000, WNR1000 & WNR2000);
- QNAP (các model TS251 & TS439 Pro);
- Các thiết bị QNAP NAS chạy phần mềm QTS;
- TP-Link R600VPN.
Mọi người được yêu cầu khởi động lại router để các mă độc này bị định vị và giải quyết bởi FBI
Trong thời gian qua, tại Việt Nam, Cục An toàn thông tin đă liên tục phát cảnh báo về các lỗ hổng, điểm yếu an toàn thông tin. Đơn cử như, trong tuần 20/2018, theo thông tin từ Trung tâm Xử lư tấn công mạng Internet Việt Nam thuộc Cục An toàn thông tin, trong tuần các tổ chức quốc tế đă phát hiện công bố ít nhất 327 lỗ hổng trong đó có 26 lỗ hổng RCE (cho phép chèn và thực thi mă lệnh); 8 lỗ hổng đă có mă khai thác...
Cũng trong tuần 20/2018, Trung tâm Xử lư tấn công mạng Internet Việt Nam cho biết: hệ thống kỹ thuật của Cục An toàn thông tin chủ động rà quét trên không gian mạng Việt Nam, đánh giá, thống kê cho thấy có 8 nhóm lỗ hổng trên các sản phẩm, dịch vụ CNTT phổ biến, có thể gây ảnh hưởng lớn đến người dùng ở Việt Nam, như:
+ Nhóm 81 lỗ hổng trên nhiều phiên bản Foxit Reader; nhóm 37 lỗ hổng trên nhiều sản phẩm của Adobe (Acrobat and Reader, Flash player, Cold Fusion,…) cho phép đối tượng tấn công thu thập thông tin, nhiều lỗ hổng cho phép chèn và thực thi mă lệnh, đưa tập tin độc hại lên hệ thống, tấn công leo thang và chiếm quyền quản trị;
+ Nhóm 3 lỗ hổng trên firmware của một số ḍng các ḍng thiết bị định tuyến router ASUS (RT-AC1200HP, RT-AC68U, RT-AC87U) cho phép đối tượng thực hiện chèn và thực thi đoạn mă độc hại để chiếm quyền kiểm soát thiết bị;
+ Nhóm 17 lỗ hổng trên một số sản phẩm, dịch vụ của Cisco (Digital Network Architecture Center, Interprise NFV Infrastructure Software, Indentity Service Engine,…) cho phép đối tượng không chế thiết bị, chiếm quyền quản trị hoặc thực hiện các h́nh thức tấn công XSS, XFS, nhiều lỗ hổng cho phép chèn và thực thi mă lệnh;
+ Nhóm 3 lỗ hổng trên một số ḍng router của D_link (DIR-550A, DIR-604M, DIR-816 A2) cho phép đối tượng thực thi mă lệnh và truy cập trái phép vào thiết bị…
Therealrtz © VietBF