Cảnh báo mã độc đang lây nhiễm khoảng 500 ngàn thiết bị router

(25/05/2018)
Các nhà nghiên cứu của tập đoàn Cisco vừa phát thông tin cảnh báo về một loại mã độc nguy hiểm đang lây lan tới khoảng hơn 500 ngàn thiết bị router của người dùng cá nhân và các công ty nhỏ.


Theo trang tin Arstechnia, nhóm kỹ sư của Cisco cho rằng đứng sau mã độc có tên VPNFilter này có thể là một nhóm hacker đang làm việc cho một quốc gia phát triển.

Mã độc do nhóm hacker phát tán đã lây nhiễm tại hơn 500.000 thiết bị router của gia đình hoặc các công ty nhỏ trên toàn thế giới.

Mã độc có thể được sử dụng để thu thập thông tin liên lạc, phát động tấn công tới các thiết bị khác và phá hủy vĩnh viễn các thiết bị chỉ với một lệnh duy nhất.

Cảnh báo từ nhóm chuyên gia của Cisco cho biết mã độc VPNFilter đã tấn công tới các thiết bị router của nhiều nhà sản xuất quen thuộc như Linksys, MikroTik, Netgear, TP-Link và cả các thiết bị lưu trữ QNAP.

Đáng chú ý đây là một trong số không nhiều những loại mã độc vẫn "sống sót" ngay cả sau khi thiết bị được khởi động lại (reboot).

Quá trình lây lan của mã độc này xảy ra ít nhất từ năm 2016, cho tới nay đã lan rộng ở ít nhất 54 quốc gia. Các nhà nghiên cứu Cisco đã theo dõi hoạt động của mã độc này trong nhiều tháng.

Trong 3 tuần qua, số vụ tấn công của mã độc VPNFilter tăng vọt, trong đó có 2 vụ tấn công lớn vào các thiết bị đặt tại Ukraine.

Trước thực trạng tăng vọt này, cộng thêm thực tiễn năng lực tấn công của mã độc đã được nhóm hacker cải tiến, nhóm chuyên gia của Cisco đã buộc phải phát báo cáo cảnh báo của họ ngay trước khi nghiên cứu về mã độc VPNFilter hoàn tất.

Theo thông tin cập nhật, Cục điều tra liên bang Mỹ (FBI) đã thu giữ được một máy chủ chính được sử dụng để tấn công các router bằng mã độc VPNFilter.

Trong diễn biến liên quan, nhà cung cấp phần mềm chống virus Symantec ngày 23-5 cũng ra thông báo của hãng cho biết những thiết bị router đã bị mã độc VPNFilter tấn công gồm:

Linksys E1200

Linksys E2500

Linksys WRVS4400N

Hệ điều hành Mikrotik RouterOS cho các thiết bị Cloud Core Router, các phiên bản 1016, 1036 và 1072

Netgear DGN2200

Netgear R6400

Netgear R7000

Netgear R8000

Netgear WNR1000

Netgear WNR2000

QNAP TS251

QNAP TS439 Pro

Các thiết bị QNAP NAS khác chạy phần mềm QTS

TP-Link R600VPN

Cả Cisco và Symantec đều khuyên những người đang sử dụng một trong những loại router nói trên nên tiến hành reset lại thiết bị bằng cách nhấn giữ một nút phía sau router trong thời gian từ 5-10 giây.

Lưu ý việc reset này sẽ xóa bỏ tất cả những cài đặt cấu hình hiện có, do đó người dùng sẽ phải đăng nhập lại một lần nữa sau khi thiết bị khởi động lại.

Người dùng cũng nên thay đổi các mật khẩu mặc định của thiết bị. Kiểm tra xem thiết bị của mình có đang chạy bản firmware mới nhất không. Và nếu có thể, hãy vô hiệu hóa chức năng quản trị từ xa.

Cũng theo khuyến cáo của các chuyên gia, không có cách nào đơn giản để xác định việc một router bị nhiễm mã độc VPNFilter hay không. Và hiện cũng chưa rõ việc chạy bản firmware mới nhất và thay đổi mật khẩu mặc định có giúp ngăn ngừa lây nhiễm mã độc này trong mọi trường hợp hay không.

Theo TTO

Tin khác