Duy Linh
Writer
Các nhóm hacker có liên hệ với Trung Quốc đang ngày càng tận dụng bộ định tuyến và thiết bị đầu cuối bị xâm nhập để xây dựng các mạng lưới bí mật, phục vụ cho hoạt động mạng lén lút khó phát hiện.
Thay vì sử dụng máy chủ chuyên dụng hoặc dịch vụ lưu trữ trả phí, các tác nhân đe dọa chuyển sang khai thác mạng botnet quy mô lớn. Những mạng này được hình thành từ các bộ định tuyến SOHO (văn phòng nhỏ/văn phòng tại nhà), thiết bị IoT và hệ thống biên bị tấn công.
Cách tiếp cận này tạo ra một nền tảng linh hoạt, chi phí thấp và đặc biệt khó bị phát hiện, phù hợp cho các chiến dịch gián điệp mạng.
Kẻ tấn công sử dụng các mạng này để trinh sát, xác định mục tiêu và khai thác lỗ hổng. Đồng thời, chúng phát tán phần mềm độc hại qua các nút trung gian, khiến lưu lượng độc hại trông giống hợp pháp.
Sau khi xâm nhập, chính hạ tầng này tiếp tục được dùng cho liên lạc chỉ huy và kiểm soát (C2), cũng như hỗ trợ đánh cắp dữ liệu.
Đáng chú ý, các chuyên gia bảo mật cảnh báo rằng những mạng thiết bị bị xâm nhập này không chỉ phục vụ một giai đoạn mà được sử dụng xuyên suốt toàn bộ chuỗi tấn công (Cyber Kill Chain). Điều này khiến việc phân biệt giữa lưu lượng hợp pháp và độc hại trở nên khó khăn hơn nhiều.
Các chỉ báo xâm nhập như địa chỉ IP nhanh chóng trở nên lỗi thời, khiến các biện pháp phòng thủ truyền thống dựa trên danh sách chặn tĩnh không còn hiệu quả.
Ví dụ, một địa chỉ IP bị đánh dấu độc hại hôm nay có thể trở thành hợp pháp vào ngày hôm sau khi kẻ tấn công chuyển sang thiết bị khác.
Mô hình này làm gia tăng đáng kể rủi ro cho các tổ chức, đặc biệt trong các lĩnh vực trọng yếu. Các nhóm hacker có thể tận dụng hạ tầng này để thực hiện gián điệp, đánh cắp dữ liệu nhạy cảm và thậm chí làm gián đoạn dịch vụ thiết yếu.
Một số khu vực như Anh đã được xác định là mục tiêu cụ thể, nhưng chiến thuật này có thể áp dụng trên phạm vi toàn cầu.
Các tổ chức chỉ dựa vào phòng thủ truyền thống dễ bị vượt qua. Ngược lại, những đơn vị triển khai bảo mật thích ứng, kết hợp trí tuệ nhân tạo sẽ có khả năng phát hiện và giảm thiểu rủi ro tốt hơn.
Đọc chi tiết tại đây: https://gbhackers.com/compromised-routers/
Thay vì sử dụng máy chủ chuyên dụng hoặc dịch vụ lưu trữ trả phí, các tác nhân đe dọa chuyển sang khai thác mạng botnet quy mô lớn. Những mạng này được hình thành từ các bộ định tuyến SOHO (văn phòng nhỏ/văn phòng tại nhà), thiết bị IoT và hệ thống biên bị tấn công.
Cách tiếp cận này tạo ra một nền tảng linh hoạt, chi phí thấp và đặc biệt khó bị phát hiện, phù hợp cho các chiến dịch gián điệp mạng.
Kẻ tấn công sử dụng các mạng này để trinh sát, xác định mục tiêu và khai thác lỗ hổng. Đồng thời, chúng phát tán phần mềm độc hại qua các nút trung gian, khiến lưu lượng độc hại trông giống hợp pháp.
Sau khi xâm nhập, chính hạ tầng này tiếp tục được dùng cho liên lạc chỉ huy và kiểm soát (C2), cũng như hỗ trợ đánh cắp dữ liệu.
Đáng chú ý, các chuyên gia bảo mật cảnh báo rằng những mạng thiết bị bị xâm nhập này không chỉ phục vụ một giai đoạn mà được sử dụng xuyên suốt toàn bộ chuỗi tấn công (Cyber Kill Chain). Điều này khiến việc phân biệt giữa lưu lượng hợp pháp và độc hại trở nên khó khăn hơn nhiều.
Cơ sở hạ tầng động và thách thức trong phát hiện
Một điểm đáng lo ngại là tính chất liên tục thay đổi của các mạng lưới này. Thiết bị trong mạng có thể được thêm, loại bỏ hoặc tái phân bổ liên tục, tạo ra hiện tượng “biến mất của IOC”.Các chỉ báo xâm nhập như địa chỉ IP nhanh chóng trở nên lỗi thời, khiến các biện pháp phòng thủ truyền thống dựa trên danh sách chặn tĩnh không còn hiệu quả.
Ví dụ, một địa chỉ IP bị đánh dấu độc hại hôm nay có thể trở thành hợp pháp vào ngày hôm sau khi kẻ tấn công chuyển sang thiết bị khác.
Mô hình này làm gia tăng đáng kể rủi ro cho các tổ chức, đặc biệt trong các lĩnh vực trọng yếu. Các nhóm hacker có thể tận dụng hạ tầng này để thực hiện gián điệp, đánh cắp dữ liệu nhạy cảm và thậm chí làm gián đoạn dịch vụ thiết yếu.
Một số khu vực như Anh đã được xác định là mục tiêu cụ thể, nhưng chiến thuật này có thể áp dụng trên phạm vi toàn cầu.
Các tổ chức chỉ dựa vào phòng thủ truyền thống dễ bị vượt qua. Ngược lại, những đơn vị triển khai bảo mật thích ứng, kết hợp trí tuệ nhân tạo sẽ có khả năng phát hiện và giảm thiểu rủi ro tốt hơn.
Các biện pháp giảm thiểu và phòng thủ hiệu quả
Để đối phó, các cơ quan an ninh mạng như Trung tâm An ninh mạng Quốc gia Anh (NCSC) đã đưa ra nhiều khuyến nghị:- Thiết lập và theo dõi đường cơ sở lưu lượng truy cập bình thường, đặc biệt với VPN và truy cập từ xa
- Sử dụng nguồn tình báo mối đe dọa động để phát hiện dấu hiệu mạng bí mật theo thời gian thực
- Áp dụng xác thực đa yếu tố (MFA) cho mọi điểm truy cập từ xa
- Triển khai mô hình zero trust với kiểm soát truy cập nghiêm ngặt
- Sử dụng danh sách IP được phép và xác minh chứng chỉ thiết bị
- Chủ động săn tìm lưu lượng bất thường từ thiết bị IoT và SOHO
- Phân tích địa lý truy cập để phát hiện hành vi bất thường
- Áp dụng học máy để phát hiện các mối đe dọa tinh vi
Đọc chi tiết tại đây: https://gbhackers.com/compromised-routers/
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
