Theo các nhà nghiên cứu, hàng nghìn bộ định tuyến Asus đã bị tấn công và đang nằm dưới sự kiểm soát của một nhóm nghi là thuộc sở hữu nhà nước Trung Quốc, nhóm này vẫn chưa tiết lộ ý định của mình về vụ tấn công quy mô lớn này.

Theo các nhà nghiên cứu từ SecurityScorecard, đợt tấn công mạng này chủ yếu hoặc hoàn toàn nhắm vào bảy mẫu router Asus, tất cả đều không còn được nhà sản xuất hỗ trợ, nghĩa là chúng không còn nhận được các bản vá bảo mật. Cho đến nay, vẫn chưa rõ những kẻ tấn công làm gì sau khi giành được quyền kiểm soát các thiết bị. SecurityScorecard đã đặt tên cho chiến dịch này là WrtHug.

Tránh bị chú ý

SecurityScorecard cho biết họ nghi ngờ các thiết bị bị xâm nhập đang được sử dụng tương tự như những thiết bị được tìm thấy trong mạng ORB (operational relay box), mà tin tặc chủ yếu sử dụng để tiến hành hoạt động gián điệp nhằm che giấu danh tính của mình.

SecurityScorecard cho biết: “Việc có được quyền truy cập ở mức độ này có thể cho phép kẻ tấn công sử dụng bất kỳ bộ định tuyến bị xâm nhập nào theo ý muốn. Kinh nghiệm của chúng tôi với các mạng ORB cho thấy các thiết bị bị xâm nhập thường được sử dụng cho các hoạt động bí mật và gián điệp, khác với các cuộc tấn công DDoS và các loại hoạt động độc hại công khai khác thường thấy ở các mạng botnet.”

Các bộ định tuyến bị xâm nhập tập trung ở Đài Loan, với các cụm nhỏ hơn ở Hàn Quốc, Nhật Bản, Hồng Kông, Nga, Trung Âu và Hoa Kỳ.

 

Bản đồ nhiệt hiển thị các thiết bị bị nhiễm virus.

Chính phủ Trung Quốc đã bị phát hiện xây dựng các mạng ORB khổng lồ trong nhiều năm. Năm 2021 , chính phủ Pháp cảnh báo các doanh nghiệp và tổ chức trong nước rằng APT31—một trong những nhóm tội phạm mạng hoạt động mạnh nhất của Trung Quốc—đứng sau một chiến dịch tấn công quy mô lớn sử dụng các bộ định tuyến bị hack để tiến hành trinh sát. Năm ngoái , ít nhất ba chiến dịch tương tự do Trung Quốc điều hành đã bị phát hiện.

Các hacker nhà nước Nga cũng từng bị bắt quả tang thực hiện hành vi tương tự, mặc dù không thường xuyên bằng. Năm 2018 , các tác nhân của Điện Kremlin đã lây nhiễm hơn 500.000 bộ định tuyến nhỏ tại văn phòng và nhà riêng bằng phần mềm độc hại tinh vi được theo dõi dưới tên VPNFilter. Một nhóm thuộc chính phủ Nga cũng tham gia độc lập vào một chiến dịch được báo cáo trong một trong những vụ tấn công bộ định tuyến năm 2024 được liên kết ở trên.

Các bộ định tuyến dành cho người tiêu dùng là nơi ẩn náu lý tưởng cho tin tặc. Các thiết bị giá rẻ này thường chạy các phiên bản Linux, từ đó có thể chạy phần mềm độc hại hoạt động ngầm. Sau đó, tin tặc đăng nhập vào bộ định tuyến để thực hiện các hoạt động độc hại. Thay vì bắt nguồn từ cơ sở hạ tầng và địa chỉ IP mà các nhà bảo mật biết là nguy hiểm, các kết nối đến từ các thiết bị có vẻ vô hại được lưu trữ bởi các địa chỉ có uy tín đáng tin cậy, cho phép chúng nhận được tín hiệu xanh từ các hệ thống phòng thủ an ninh.

Trong quá trình lây nhiễm WrtHug, các thiết bị sẽ mở một hộp thoại trên các thiết bị được kết nối, hướng dẫn người dùng cài đặt chứng chỉ TLS tự ký. Các bộ định tuyến Asus, giống như của nhiều nhà sản xuất khác, theo mặc định yêu cầu người dùng chấp nhận các chứng chỉ như vậy để mã hóa kết nối giữa người dùng và thiết bị khi sử dụng giao diện quản trị dựa trên web. Vì người dùng đã quen với việc chấp thuận các yêu cầu như vậy, họ hiếm khi nghi ngờ điều gì bất thường. Chứng chỉ tự ký không tuân thủ các thông số kỹ thuật TLS vì người dùng của chúng không thể được xác minh và không có cách nào để thu hồi chứng chỉ một khi chúng bị phát hiện là độc hại.

Chiến dịch WrtHug sử dụng chức năng được cung cấp bởi AICloud, một dịch vụ độc quyền của Asus cho phép người dùng truy cập các tệp được lưu trữ trên máy tính cục bộ từ Internet.

Cho đến nay, các nhà nghiên cứu của SecurityScorecard vẫn chưa phát hiện bất kỳ hành vi nào sau khi bị khai thác từ các bộ định tuyến bị nhiễm. Marty Kareem, kỹ sư thu thập tín hiệu tại SecurityScorecard, đã viết trong một cuộc phỏng vấn:

Chúng tôi vẫn chưa quan sát thấy bất kỳ phần mềm độc hại nào được kẻ tấn công cài đặt để xâm nhập các thiết bị này, mặc dù khả năng quan sát của chúng tôi bị hạn chế, vì điều đó đòi hỏi phải có được một thiết bị bị xâm nhập và nghiên cứu trực tiếp. Có những trường hợp được báo cáo về việc các tệp nhị phân dễ bay hơi được cài đặt để thực hiện các thay đổi ở cấp độ nhân hệ điều hành, và sau đó chúng tự xóa khi khởi động lại, chỉ để lại cấu hình đã thay đổi cần thiết. Cũng có khả năng kẻ tấn công không sử dụng bất kỳ phần mềm độc hại nào và lợi dụng các lỗ hổng để gây ra các thay đổi trực tiếp đối với hệ điều hành (điều này khả thi với các lỗ hổng mà chúng tôi đã quan sát thấy trong chiến dịch này). Nhìn chung, còn quá sớm để xác định chính xác chuỗi lây nhiễm dẫn đến kết quả cuối cùng, hoặc kết quả sau khi khai thác, mà chúng tôi đã quan sát thấy - quyền truy cập cấp cao cho phép hoán đổi chứng chỉ và các đặc quyền quản trị khác. Nếu tôi có thể nói thêm một điều nữa, việc giành được quyền truy cập quản trị vào thiết bị ở cùng cấp độ với chủ sở hữu thiết bị là RẤT quan trọng và không nên xem nhẹ, vì đó là điều mà hầu hết các kẻ tấn công đều cố gắng đạt được trong hầu hết các chiến dịch xâm nhập.

Tôi có bị nhiễm bệnh không?

Các mẫu router Asus mà SecurityScorecard biết là mục tiêu tấn công bao gồm: