Khi thiết bị bảo mật của chính bạn trở thành cửa hậu cho tin tặc, thì còn gì đáng tin cậy? Cơ quan An ninh mạng và Bảo mật Cơ sở hạ tầng Mỹ (CISA) vừa tiết lộ một vụ tấn công nghiêm trọng nhắm vào thiết bị Cisco Firepower của một cơ quan dân sự liên bang. Malware có tên FIRESTARTER đã biến thiết bị tường lửa thành công cụ phục vụ kẻ tấn công. Điều đáng lo ngại nhất là backdoor này có thể sống sót qua các bản vá bảo mật.

Khi tường lửa trở thành cửa hậu

FIRESTARTER được phát hiện vào tháng 9/2025 trên thiết bị Cisco Firepower chạy phần mềm Adaptive Security Appliance (ASA) của một cơ quan liên bang Mỹ chưa được tiết lộ tên. Theo đánh giá chung của CISA và Trung tâm An ninh mạng Quốc gia Anh (NCSC), đây là một backdoor được thiết kế đặc biệt cho việc truy cập từ xa. Chúng tôi cho rằng đây không phải là một cuộc tấn công ngẫu nhiên mà là chiến dịch có mục tiêu cụ thể nhằm vào hạ tầng quan trọng.

Điểm đáng báo động là FIRESTARTER thể hiện khả năng persistence (tồn tại lâu dài) đáng sợ. Backdoor này không chỉ đơn giản là một đoạn code độc hại thông thường mà được thiết kế để tồn tại ngay cả khi hệ thống được cập nhật các bản vá bảo mật. Điều này cho thấy mức độ tinh vi của cuộc tấn công và khả năng kỹ thuật cao của nhóm tin tặc đứng sau.

Phẫu thuật malware tàng hình trên Cisco ASA

Cisco ASA (Adaptive Security Appliance) là nền tảng bảo mật mạng được sử dụng rộng rãi trong các doanh nghiệp và cơ quan chính phủ để cung cấp các tính năng tường lửa, VPN và bảo mật mạng. Việc FIRESTARTER nhắm vào chính xác loại thiết bị này cho thấy kẻ tấn công hiểu rõ giá trị chiến lược của việc kiểm soát cổng vào mạng nội bộ. Khi đã chiếm được thiết bị ASA, tin tặc có thể giám sát toàn bộ lưu lượng mạng, thu thập thông tin nhạy cảm và tạo ra các kênh truy cập bí mật.

Chúng tôi phân tích rằng khả năng survival (sống sót) qua các bản cập nhật của FIRESTARTER có thể dựa trên việc malware tự nhúng sâu vào firmware hoặc sử dụng các kỹ thuật rootkit tiên tiến. Điều này giải thích tại sao các biện pháp bảo mật thông thường như cập nhật phần mềm không thể loại bỏ hoàn toàn mối đe dọa. Đây là xu hướng đáng lo ngại trong làng cybersecurity khi malware ngày càng trở nên bền bỉ và khó phát hiện.

Sóng thần tấn công hạ tầng quan trọng

Vụ việc này không xảy ra trong chân không mà là một phần của xu hướng gia tăng các cuộc tấn công nhắm vào thiết bị mạng và hạ tầng quan trọng. Theo thống kê của CISA, các cuộc tấn công vào thiết bị Cisco đã tăng 300% trong năm 2024, với hơn 15.000 thiết bị trên toàn cầu bị ảnh hưởng. Tại Việt Nam, Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) ghi nhận 28 vụ tấn công tương tự vào các thiết bị mạng của doanh nghiệp trong 6 tháng đầu năm 2024.

Tác động của việc thiết bị Cisco bị nhiễm backdoor có thể lan tỏa rộng khắp. Khi kẻ tấn công kiểm soát được thiết bị tường lửa, họ có thể truy cập vào toàn bộ mạng nội bộ, đánh cắp dữ liệu, cài đặt thêm malware hoặc thậm chí tắt các hệ thống quan trọng. Đối với các tổ chức Việt Nam đang sử dụng thiết bị Cisco, đây là lời cảnh báo không thể bỏ qua.

Lá chắn phòng thủ cho doanh nghiệp Việt

Trước mối đe dọa FIRESTARTER, các tổ chức Việt Nam cần thực hiện ngay các bước sau. Đầu tiên, kiểm tra toàn bộ thiết bị Cisco Firepower và ASA trong hệ thống, đặc biệt chú ý đến các hoạt động bất thường như kết nối mạng không rõ nguồn gốc hoặc tài nguyên hệ thống bị tiêu thụ bất thường. Thứ hai, triển khai monitoring (giám sát) liên tục với các công cụ SIEM để phát hiện sớm các dấu hiệu bất thường.

Chúng tôi khuyến nghị các doanh nghiệp không chỉ dựa vào việc cập nhật phần mềm mà cần áp dụng chiến lược phòng thủ nhiều lớp. Cụ thể, triển khai network segmentation (phân đoạn mạng) để hạn chế thiệt hại nếu một thiết bị bị xâm nhập, thường xuyên backup cấu hình thiết bị và áp dụng zero-trust model trong quản lý truy cập mạng. Đồng thời, các tổ chức cần có kế hoạch incident response (ứng phó sự cố) cụ thể để xử lý nhanh chóng khi phát hiện dấu hiệu nhiễm malware.