Nhóm hacker quân sự Nga điều hướng Internet của người Anh

2 giờ trướcBài gốc

Hôm 7.4, NCSC cho biết nhóm hacker APT28, một đơn vị tinh nhuệ của tình báo quân sự Nga, đã khai thác các bộ định tuyến (router) Internet dễ bị xâm nhập để thực hiện hoạt động chiếm quyền hệ thống phân giải tên miền (DNS). Từ đó, APT28 bí mật chuyển hướng lưu lượng truy cập internet của người dùng thông qua các máy chủ độc hại do nhóm kiểm soát, đánh cắp mật khẩu cũng như mã thông báo truy cập từ các dịch vụ web và email cá nhân.

NCSC đã nêu tên TP-Link và MikroTik là hai công ty dễ bị tấn công bởi phương pháp này.

Paul Chichester, Giám đốc điều hành NCSC, cho biết những phát hiện trên “chứng minh các lỗ hổng trong thiết bị mạng phổ biến” có thể bị hacker tinh vi khai thác, đồng thời kêu gọi các công ty và cá nhân tự bảo vệ mình.

NCSC đã liệt kê các biện pháp có thể giảm thiểu rủi ro, gồm cả triển khai các bản cập nhật bảo mật và tiến hành quét virus định kỳ.

Trong kiểu tấn công này, hacker can thiệp vào tiến trình DNS, vốn cho phép người dùng truy cập các trang web bằng cách nhập địa chỉ quen thuộc. Người dùng có thể bị hacker bí mật điều hướng đến các trang web độc hại nhằm đánh cắp thông tin đăng nhập hoặc các dữ liệu nhạy cảm khác.

NCSC cho biết chiến dịch này “có khả năng mang tính cơ hội”, với việc hacker triển khai rộng rãi để tiếp cận nhiều nạn nhân tiềm năng trước khi thu hẹp phạm vi nhắm vào các mục tiêu tình báo khi cuộc tấn công diễn ra.

Nhóm hacker APT28 điều hướng lưu lượng truy cập Internet của người dùng Anh và đánh cắp mật khẩu - Ảnh: SV

Thực hiện một số cuộc tấn công mạng đình đám nhất

APT28 đã tham gia vào một số cuộc tấn công mạng đình đám nhất những năm gần đây. Theo NCSC, gần như chắc chắn APT28 là GRU, hay đơn vị tình báo quân sự Nga số 26165.

Nhóm này đã bị cáo buộc liên quan đến các cuộc tấn công mạng vào Ủy ban Quốc gia đảng Dân chủ Mỹ, Quốc hội Đức và đơn vị hỗ trợ hậu cần của phương Tây cho Ukraine. APT28 được biết đến với những bí danh khác nhau như Forest Blizzard và Fancy Bear.

Trước đó, các chuyên gia Mỹ đã xác định TP-Link là mục tiêu trong các chiến dịch tấn công mạng lớn của Trung Quốc năm 2023 và 2024, được gọi là Salt Typhoon (Bão Muối) và Volt Typhoon (Bão Điện), nhằm mục đích xâm nhập vào Mỹ. Song theo một tuyên bố trên trang web TP-Link, lỗ hổng bảo mật trong router của công ty là "tin đồn sai sự thật".

"Với công chúng, các chiến dịch của các hacker Trung Quốc, gồm Volt Typhoon, Salt Typhoon và Flax Typhoon, không có bất kỳ sự ưu tiên rõ ràng nào trong việc sử dụng router TP-Link làm phương tiện tấn công. Các hacker này đã nhắm mục tiêu vào nhiều loại router từ nhiều nhà sản xuất khác nhau", TP-Link tuyên bố.

Là hãng công nghệ có nguồn gốc từ Trung Quốc, TP‑Link được thành lập vào năm 1996 tại thành phố Thâm Quyến, tỉnh Quảng Đông.TP‑Link chuyên sản xuất thiết bị mạng như router, bộ mở rộng sóng Wi‑Fi, switch, modem và các thiết bị smarthome (nhà thông minh). Công ty hiện có hoạt động trên quy mô toàn cầu với sản phẩm được phân phối ở nhiều quốc gia trên thế giới.

Dù có nguồn gốc từ Trung Quốc, TP‑Link những năm gần đây đã tái cấu trúc và đặt trụ sở hoạt động quốc tế của mình ở thành phố Irvine, bang California (Mỹ), đồng thời mở rộng sản xuất ở nhiều nơi, gồm cả Việt Nam.

MikroTik là công ty có trụ sở tại Riga (thủ đô Latvia), được thành lập vào năm 1996 và nổi tiếng với router chuyên dụng, switch cùng hệ điều hành RouterOS dùng cho thiết bị mạng. Các sản phẩm của MikroTik được sử dụng bởi cả các nhà cung cấp dịch vụ internet, doanh nghiệp lẫn người dùng cá nhân trên toàn thế giới.

Mỹ cấm router mới từ nước ngoài

Ủy ban Truyền thông Liên bang Mỹ (FCC) đã cấm router tiêu dùng mới được sản xuất ở nước ngoài, với lý do chúng tạo ra các lỗ hổng trong chuỗi cung ứng.

Ngày 23.3, FCC đã chính thức cập nhật danh sách đen, gồm cả tất cả các router Wi‑Fi tiêu dùng được sản xuất ở nước ngoài. Theo đó, các mẫu router mới, nếu không có đặc biệt, sẽ không được phép nhập khẩu, bán hay tiếp thị tại Mỹ. Quy định này chỉ áp dụng cho các mẫu mới, còn các router hiện có trên thị trường vẫn tiếp tục được sử dụng bình thường, kèm khả năng cập nhật phần mềm tới thời hạn nhất định, thường là tháng 3.2027.

FCC lý giải quyết định này xuất phát từ lo ngại các router sản xuất ở nước ngoài có thể gây rủi ro cho an ninh quốc gia. Thiết bị mạng là trung tâm của hệ thống Internet, mà nếu bị khai thác, có thể cho phép hacker truy cập sâu vào dữ liệu cá nhân, doanh nghiệp, thậm chí tấn công hạ tầng trọng yếu. Quyết định được đưa ra sau một đánh giá liên cơ quan do Nhà Trắng chủ trì, nhằm bảo vệ hạ tầng Internet quan trọng mà xã hội hiện đại phụ thuộc.

Với người tiêu dùng ở Mỹ, các router hiện tại vẫn hoạt động bình thường, nhưng khi kho hàng cạn, việc nhập về các thiết bị mới sẽ khó khăn nếu không có phê duyệt đặc biệt. Điều đó có thể dẫn tới khan hiếm mẫu mới, tăng giá và hạn chế sự lựa chọn, bởi phần lớn router hiện nay sản xuất ở châu Á.

Để tiếp tục bán router mới tại Mỹ, các hãng như TP‑Link, ASUS hay Netgear phải nộp đơn xin giấy phép đặc biệt, cung cấp chi tiết chuỗi cung ứng, vị trí sản xuất và kế hoạch mở rộng sản xuất nội địa.

Sơn Vân

Nguồn Một Thế Giới : https://1thegioi.vn/nhom-hacker-quan-su-nga-dieu-huong-internet-cua-nguoi-anh-249917.html