Mã độc tấn công router của Nga đã ‘tiến hóa’

RESEARCH CREW
14:06 15/06/2018

Mã độc này vừa được phát hiện có thêm khả năng loại bỏ mã hóa HTTPS, tấn công trung gian, thậm chí tự xóa sạch thông tin trong thiết bị.

Theo BGR, mã độc với tên gọi VPNFilter, được cho là có nguồn gốc từ Nga đã tấn công và lây nhiễm hơn 500.000 thiết bị định tuyến gần đây dường như đáng sợ hơn những gì mà các chuyên gia dự đoán.

Theo Craig Williams, chuyên gia bảo mật của Cisco, VPNFilter đang nhắm mục tiêu nhiều thiết bị hơn so với lần đầu tiên được phát hiện, bao gồm các thiết bị của Asus, D-Link, Huawei, Ubiquiti, UPVEL và ZTE, cũng như các mẫu router mới từ các nhà sản xuất tên tuổi như Linksys, MikroTik, Netgear và TP-Link. Số lượng router trên toàn thế giới có nguy cơ lây nhiễm dự kiến tăng thêm đến 200.000.

Tuy nhiên, đây chưa phải là điều tệ nhất. Các mã độc này được phát hiện có thể thực hiện các cuộc tấn công trung gian. Điều đó có nghĩa là chúng có thể truyền nội dung độc hại đi qua bộ định tuyến bị nhiễm tới các mục tiêu của nó. Tương tự, nó có thể ăn cắp thông tin đăng nhập đang được truyền giữa máy tính và trang web. Tên người dùng cùng mật khẩu có thể được sao chép và gửi đến các máy chủ được kiểm soát bởi tin tặc. Để làm được điều này, nó đã hạ cấp kết nối Https thành Http, hay nói một cách đơn giản là đã tìm được cách bỏ qua việc mã hóa.

Cisco cho rằng mối đe dọa từ VPNFilter lớn hơn nhiều so với dự kiến ban đầu.

Cisco cho rằng mối đe dọa từ VPNFilter lớn hơn nhiều so với dự kiến ban đầu.

"Ban đầu khi thấy điều này, chúng tôi nghĩ rằng nó chỉ có khả năng thực hiện giống như các cuộc tấn công bằng bộ định tuyến trên Internet", Craig Williams chia sẻ. "Nhưng những kẻ tấn công đã 'tiến hóa' nó và giờ chúng có thể thao túng mọi thứ đi qua thiết bị bị xâm nhập. Tin tặc có thể sửa đổi số dư tài khoản ngân hàng của người dùng để trông nó có vẻ bình thường trong khi đang đồng thời rút tiền đi".

Cũng theo chuyên gia này, các cuộc tấn công đã bắt đầu xuất hiện và dường như tin tặc đang tìm kiếm những mục tiêu cụ thể. "Chúng không cố gắng thu thập nhiều lưu lượng truy cập nhất có thể. Cái bị lấy đi là một số thứ rất nhỏ như thông tin đăng nhập và mật khẩu. Hiện chưa có nhiều thông tin ngoài việc đây chắc chắn đó là một kế hoạch vô cùng tinh vi. Chúng tôi đang cố gắng tìm hiểu xem những kẻ tin tặc sử dụng nó ở đâu".

Và cảnh báo nguy hiểm cuối cùng về mã độc này là nó có thể tải xuống module tự hủy nhằm xóa sạch thông tin và khởi động lại thiết bị.

Mã độc này ngày càng được phát hiện có thêm nhiều tính năng mới nguy hiểm.

Mã độc này ngày càng được phát hiện có thêm nhiều tính năng mới nguy hiểm.

Loại bỏ VPNFilter không phải là một nhiệm vụ dễ dàng. Mã độc này được xây dựng phương án tấn công theo từng bước cụ thể. Giai đoạn 1 đóng vai trò như một cửa hậu trên các thiết bị có thể bị lây nhiễm và được sử dụng để tải xuống các nội dung bổ sung. Giai đoạn 2 và 3, nó có thêm các tính năng tinh vi hơn, bao gồm cả khả năng tấn công và tự hủy.

Theo khuyến cáo, tất cả chủ sở hữu bộ định tuyến nên giả định ngay từ đầu rằng thiết bị của họ đã bị lây nhiễm và thực hiện việc khôi phục cài đặt gốc. Ngay sau đó là tải các bản cập nhật phần mềm để loại bỏ những lỗ hổng, nguyên nhân gây ra việc lây nhiễm Giai đoạn 1. Thay đổi mật khẩu mặc định cũng là hành vi được khuyến khích, bên cạnh việc vô hiệu hóa thao tác quản trị từ xa.

VPNFilter đã được phát hiện ở 54 nước và mới đây, thậm chí nó còn được sử dụng để cố gắng tấn công Ukraine vào đúng thời điểm diễn ra trận chung kết giải bóng đá Champions League hồi cuối tháng 5 tại nước này. Trong khi chính phủ Nga đã phủ nhận sự liên quan tới mã độc này, FBI (Mỹ) đã đưa ra cảnh báo yêu cầu người dùng Internet khởi động lại bộ định tuyến của họ. Tuy nhiên, đây là giải pháp tạm thời, trước khi đợi bản vá bảo mật từ phía các công ty sản xuất bộ định tuyến

Mai Anh (VNEXPRESS)

TIN LIÊN QUAN
  Các nhà nghiên cứu: “Nói cách khác, mã PIN vô dụng trong các giao dịch không tiếp xúc (không chạm – contactless payment) với thẻ Visa.” Một nhóm nghiên cứu học thuật từ Thụy Sĩ đã phát hiện ra một lỗi bảo mật có thể bị lạm dụng để...
Android là hệ điều hành di động phổ biến nhất trên thế giới và chiếm 74% thị phần điện thoại thông minh toàn cầu. Do đó, Android là mục tiêu hàng đầu của tất cả các loại phần mềm độc hại và tấn công mạng. Vấn đề phần mềm độc...
Mã độc này (với tên gọi là “Vega Stealer”) được viết bằng .NET (C#) và là một biến thể của mã độc August Stealer – loại mã độc thường trú và đánh cắp thông tin đăng nhập của các tài liệu nhạy cảm và thông tin chi tiết các loại...