Nhiều cơ quan chức năng hiện đang đưa ra cảnh báo ảnh hưởng đến người dùng một số mẫu router nhất định. Các router này được cho là mục tiêu của một chiến dịch tấn công mạng quy mô lớn do các tin tặc Nga thực hiện. Mối lo ngại tập trung vào các router TP-Link, mặc dù các nhà sản xuất khác cũng được cho là bị ảnh hưởng.
Nhóm tin tặc “Fancy Bear” (còn được gọi là “APT 28”) được cho là đứng sau các cuộc tấn công vào các router này. Trong quá khứ, chúng đã thực hiện các cuộc tấn công vào các công ty ủng hộ Ukraine trong cuộc chiến chống Nga. Chúng cũng được cho là đã thực hiện một cuộc tấn công vào trung tâm kiểm soát không lưu của Đức và trụ sở đảng SPD của Đức.
Cảnh báo này từ cơ quan tình báo nội địa Đức cho biết nhóm tin tặc đã “xâm nhập vào các bộ định tuyến internet TP-Link dễ bị tổn thương trên toàn thế giới để thu thập thông tin quân sự, thông tin chính phủ hoặc thông tin về cơ sở hạ tầng quan trọng”.
Theo Spiegel Netzwelt (cũng được dịch máy), một số công ty và hộ gia đình được cho là đã nhận được thông báo về mối đe dọa này vào giữa tháng 3. Các bức thư chứa thông tin chi tiết về các thiết bị bị ảnh hưởng. FBI và NSA cũng được cho là đang tham gia vào các cuộc điều tra.
Mối đe dọa trông như thế nào?
Các cuộc tấn công vào bộ định tuyến này thuộc loại tấn công chiếm quyền điều khiển DNS, trong đó tin tặc cố gắng chuyển hướng người dùng đến các trang web giả mạo với hy vọng họ sẽ tiết lộ thông tin cá nhân, mật khẩu hoặc chi tiết ngân hàng. Ngoài ra, người dùng có thể bị nhiễm phần mềm độc hại sau khi tải xuống các tập tin.
Tin tặc được cho là chủ yếu nhắm mục tiêu vào thông tin có thể hỗ trợ cơ quan tình báo quân sự GRU của Nga. Tại Đức, các nhà điều tra quốc tế đã xác định được 30 thiết bị có thể bị lợi dụng cho loại tấn công này. Các sự cố đầu tiên được cho là đã xảy ra ít nhất từ năm 2024.
Cách tự bảo vệ mình
Những kẻ tấn công đang khai thác một lỗ hổng bảo mật đã biết trong bộ định tuyến TP-Link, lỗ hổng này đã được nhà sản xuất vá lỗi. Do đó, bất kỳ ai sử dụng bộ định tuyến TP-Link nên kiểm tra càng sớm càng tốt xem tất cả các bản cập nhật firmware mới nhất của bộ định tuyến đã được cài đặt hay chưa.
Ngoài ra, hãy cảnh giác với các dấu hiệu điển hình của việc chiếm quyền điều khiển DNS:
- Thường xuyên bị chuyển hướng đến các trang web khác
- Cảnh báo bảo mật từ trình duyệt hoặc phần mềm diệt virus
- Tần suất xuất hiện cửa sổ bật lên và quảng cáo đáng ngờ tăng lên
- Thời gian tải trang lâu bất thường mặc dù kết nối internet ổn định
- Máy chủ DNS bị thay đổi (bạn có thể kiểm tra trong cài đặt bộ định tuyến của mình)
Trong một diễn biến tương tự, chính phủ Hoa Kỳ gần đây đã cấm nhập khẩu bộ định tuyến nước ngoài do lo ngại về hoạt động gián điệp và các cuộc tấn công độc hại vào cơ sở hạ tầng mạng quan trọng. Mặc dù TP-Link đã có chi nhánh tại Mỹ trong nhiều năm, nhưng công ty này có nguồn gốc từ Trung Quốc và do đó cũng bị ảnh hưởng bởi lệnh cấm này.