Hơn 9.000 bộ định tuyến (router) ASUS đã bị tin tặc xâm nhập một cách âm thầm, và rất có thể thiết bị của bạn nằm trong danh sách đó. Đừng lo lắng, bạn không cần phải chờ đợi sự cố xảy ra mới có thể tìm hiểu. Bài viết này sẽ giúp bạn nhận diện sớm nguy cơ và thực hiện các biện pháp cần thiết để bảo vệ mạng gia đình khỏi mối đe dọa tiềm ẩn này.
Quy Mô và Bản Chất Cuộc Tấn Công Vào Router ASUS
Một chiến dịch tấn công mạng tinh vi đang nhắm vào hàng ngàn router ASUS có lỗ hổng bảo mật, gây ra mối lo ngại lớn về an toàn thông tin cá nhân và hệ thống mạng gia đình.
Phát hiện từ GreyNoise và mức độ xâm nhập
Công ty an ninh mạng GreyNoise đã công bố phát hiện về một “chiến dịch khai thác đang diễn ra” ảnh hưởng đến hàng ngàn router ASUS được kết nối trực tiếp với internet. Báo cáo của họ cho biết các đối tượng tấn công, dù danh tính vẫn chưa được xác định, đã giành được quyền truy cập trái phép và duy trì kiểm soát liên tục đối với hơn 9.000 router ASUS. Dựa trên các chiến thuật được sử dụng – bao gồm việc truy cập ban đầu một cách lén lút và lạm dụng các tính năng hệ thống có sẵn để duy trì quyền kiểm soát – GreyNoise nhận định rằng hoạt động này cho thấy một đối thủ có nguồn lực tốt và năng lực cao, tương tự như những kẻ đứng sau các chiến dịch tấn công nâng cao, kéo dài.
Kỹ thuật tấn công tinh vi của hacker
Tin tặc được cho là đã sử dụng phương pháp tấn công vét cạn (brute-force) kết hợp với hai phương thức xác thực khác nhau để đột nhập vào các router. Sau khi truy cập thành công, chúng khai thác lỗ hổng đã biết (CVE-2023-39780) để thực thi các lệnh tùy ý. Thông qua lỗ hổng này, chúng đã kích hoạt quyền truy cập SSH (Secure Shell) nếu chưa được bật, và sau đó chèn khóa công khai SSH của riêng chúng. Việc này giúp chúng duy trì quyền truy cập lâu dài vào thiết bị.
Điều đặc biệt nguy hiểm là khóa SSH này được lưu trữ trong bộ nhớ bất biến (NVRAM) của router, thay vì hệ thống tệp. Điều này có nghĩa là khóa vẫn tồn tại ngay cả khi người dùng khởi động lại router hoặc cập nhật firmware. Để che giấu dấu vết, tin tặc còn vô hiệu hóa nhật ký hoạt động (logging), xóa bỏ mọi bằng chứng về hành vi xâm nhập của mình.
Mục đích ẩn sau cuộc tấn công: Botnet tiềm năng
Điều đáng ngạc nhiên là báo cáo của GreyNoise cho biết dường như tin tặc không cài đặt bất kỳ loại phần mềm độc hại nào lên các router bị xâm nhập. Điều này đặt ra câu hỏi về mục đích cuối cùng của cuộc tấn công. GreyNoise nêu rõ trong báo cáo của mình:
“Đây dường như là một phần của chiến dịch ngầm nhằm tập hợp một mạng lưới phân tán các thiết bị được tạo cửa hậu (backdoor) – có khả năng đặt nền móng cho một mạng botnet trong tương lai.”
Mạng botnet là một mạng lưới các máy tính hoặc thiết bị bị chiếm quyền điều khiển, được tin tặc sử dụng để thực hiện các hành vi lừa đảo và tấn công mạng từ xa.
Vì sao cập nhật firmware thông thường không hiệu quả?
Thông thường, trong những trường hợp như vậy, giải pháp tốt nhất là cập nhật firmware cho router của bạn. Tuy nhiên, đối với cuộc tấn công này, việc cập nhật firmware sẽ không giải quyết được vấn đề, bởi vì những thay đổi mà tin tặc thực hiện được lưu trữ trực tiếp trong NVRAM của router, một bộ nhớ độc lập với firmware.
Router ASUS với biểu tượng khóa bảo mật, minh họa sự cần thiết phải kiểm tra và bảo vệ thiết bị trước các cuộc tấn công mạng
Hướng Dẫn Chi Tiết Kiểm Tra Router ASUS Có Bị Ảnh Hưởng Không
May mắn thay, vẫn có cách để bạn kiểm tra xem router ASUS của mình có bị tin tặc truy cập hay không. Việc này có thể thực hiện bằng cách đăng nhập vào giao diện quản lý (firmware) của router và kiểm tra một số cài đặt cụ thể.
Các dấu hiệu nhận biết router đã bị xâm nhập
Nếu router của bạn đã trở thành nạn nhân của cuộc tấn công, bạn sẽ thấy quyền truy cập SSH được kích hoạt trên một cổng không bình thường, cụ thể là cổng 53282. Kèm theo đó là một đoạn khóa công khai SSH bị rút gọn với định dạng như sau: ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ...
Các bước truy cập và kiểm tra cài đặt SSH
Để kiểm tra, hãy thực hiện theo các bước sau:
- Đăng nhập vào giao diện quản lý router: Mở trình duyệt web và nhập địa chỉ IP mặc định của router ASUS (thường là 192.168.1.1 hoặc 192.168.50.1). Nhập tên người dùng và mật khẩu quản trị của bạn.
- Truy cập phần “Administration” (Quản trị): Sau khi đăng nhập thành công, tìm và nhấp vào mục “Administration” trên menu điều hướng.
- Tìm tùy chọn “Enable SSH” (Bật SSH): Trong phần “Administration”, tìm đến mục “Service” hoặc “System” (tùy thuộc vào phiên bản firmware của bạn). Tại đây, bạn sẽ thấy tùy chọn “Enable SSH”.
- Kiểm tra trạng thái SSH: Nếu bạn thấy SSH được bật trên cổng 53282 và có đoạn khóa công khai SSH đã nêu ở trên, rất tiếc là router của bạn đã bị xâm nhập.
Biện Pháp Khắc Phục và Phòng Ngừa Cho Router ASUS
Nếu router của bạn đã bị ảnh hưởng, việc cập nhật firmware là không đủ. Bạn cần thực hiện các biện pháp mạnh mẽ hơn để loại bỏ quyền truy cập của tin tặc.
Giải pháp tức thì: Khôi phục cài đặt gốc và các bước bổ sung
Vì cập nhật firmware không thể khắc phục được vấn đề này, giải pháp tốt nhất là khôi phục cài đặt gốc (factory reset) cho router của bạn. Việc này sẽ xóa sạch mọi cấu hình, bao gồm cả những thay đổi mà tin tặc đã thực hiện trong NVRAM.
Ngoài ra, ASUS cũng khuyến nghị người dùng nên xóa hoặc vô hiệu hóa mục SSH đã bị chèn nếu có thể, và quan trọng hơn là chặn các địa chỉ IP sau đây trên tường lửa (firewall) của router để ngăn chặn kết nối từ kẻ tấn công: 101.99.91.151, 101.99.94.173, 79.141.163.179 và 111.90.146.237.
Cách phòng tránh để bảo vệ router ASUS trong tương lai
Nếu bạn may mắn không nằm trong số các router bị tấn công, đây là thời điểm vàng để cập nhật firmware cho thiết bị của bạn. ASUS đã phát hành bản vá lỗi cho lỗ hổng CVE-2023-39780, lỗ hổng cho phép tin tặc thực thi các lệnh tùy ý trên router. Việc cập nhật lên phiên bản firmware mới nhất sẽ giúp bạn phòng ngừa hiệu quả khỏi các cuộc tấn công tương tự trong tương lai.
Việc bảo mật router là một yếu tố then chốt để bảo vệ toàn bộ mạng lưới và dữ liệu cá nhân của bạn. Đừng bao giờ lơ là trong việc cập nhật phần mềm và kiểm tra các cài đặt bảo mật. Nếu bạn có bất kỳ thắc mắc nào về cách bảo vệ router của mình hoặc muốn tìm hiểu thêm về các bản vá bảo mật, đừng ngần ngại để lại bình luận bên dưới hoặc tham khảo thêm các bài viết chuyên sâu khác trên khoahoccongnghe.net.
