Tưởng tượng kẻ tấn công không cần phá khóa cửa mà chỉ cần đi qua lối đã mở sẵn - đó chính là điều đang xảy ra với một cơ quan chính phủ Mỹ khi bị nhiễm malware FIRESTARTER. Cơ quan An ninh Hạ tầng và Mạng (CISA) vừa tiết lộ vụ tấn công nghiêm trọng này, nơi hacker đã cài đặt backdoor (cửa hậu) trên thiết bị Cisco và duy trì quyền truy cập đến tận tháng 3 mà không cần khai thác lại lỗ hổng gốc. Đây không chỉ là một vụ hack thông thường mà còn là minh chứng cho sự tinh vi đáng sợ của các cuộc tấn công APT (Advanced Persistent Threat - tấn công dai dẳng nâng cao) hiện đại.

Khi FIRESTARTER biến thiết bị mạng thành 'cửa hậu' vĩnh viễn

FIRESTARTER không phải là malware thông thường mà bạn có thể gỡ bỏ đơn giản bằng phần mềm diệt virus. Đây là một backdoor được thiết kế đặc biệt để ẩn mình sâu trong hệ thống Cisco, tạo ra một lối vào bí mật mà chỉ kẻ tấn công biết. Theo CISA, sau khi nhiễm malware này, hacker có thể quay lại hệ thống bất cứ lúc nào mà không cần sử dụng lại phương thức tấn công ban đầu. Điều này giống như việc họ đã sao chép chìa khóa nhà bạn và có thể lui tới tự do.

Chúng tôi nhận định đây là một trong những mối đe dọa nghiêm trọng nhất đối với hạ tầng mạng hiện nay. Việc kẻ tấn công có thể duy trì quyền truy cập trong thời gian dài mà không bị phát hiện cho thấy mức độ tinh vi của FIRESTARTER. Cơ quan chính phủ Mỹ bị tấn công - mà CISA từ chối tiết lộ danh tính vì lý do an ninh - đã trở thành mục tiêu của một chiến dịch tấn công có tổ chức, có khả năng được tài trợ bởi nhà nước.

Phẫu thuật kỹ thuật: Làm thế nào FIRESTARTER lách qua mọi tường lửa

Để hiểu rõ mức độ nguy hiểm của FIRESTARTER, chúng ta cần phân tích cách thức hoạt động của nó. Malware này không tấn công theo kiểu "ồn ào" như ransomware hay crypto-miner, mà thay vào đó hoạt động âm thầm như một "sleeper agent" (điệp viên ngủ). Sau khi xâm nhập thành công qua lỗ hổng ban đầu trên thiết bị Cisco, FIRESTARTER sẽ cài đặt các module backdoor vào firmware hoặc memory của thiết bị, nơi mà hầu hết các giải pháp bảo mật truyền thống không thể quét được.

Điểm đáng lo ngại nhất là khả năng "persistence" (tồn tại lâu dài) của FIRESTARTER. Ngay cả khi quản trị viên khởi động lại thiết bị hay thực hiện các biện pháp bảo mật cơ bản, malware vẫn có thể tự động kích hoạt trở lại. Theo phân tích của chúng tôi, đây có thể là một biến thể của các malware targeting firmware như VPNFilter từng tấn công hàng trăm nghìn router trên toàn cầu năm 2018. Sự tương đồng này gợi ý về một nhóm tấn công có nguồn lực lớn và kinh nghiệm sâu trong việc khai thác các thiết bị mạng cấp doanh nghiệp.

Tác động domino: Khi một lỗ hổng kéo theo hàng loạt rủi ro

Vụ việc này không chỉ ảnh hưởng đến một cơ quan chính phủ Mỹ mà còn tạo ra hiệu ứng domino nghiêm trọng. Theo thống kê của Shodan - công cụ tìm kiếm thiết bị IoT, hiện có hơn 1.2 triệu thiết bị Cisco đang kết nối internet toàn cầu, trong đó khoảng 15,000 thiết bị tại Việt Nam có thể tiềm ẩn các lỗ hổng tương tự. Con số này đặc biệt đáng báo động khi nhiều tổ chức trong nước vẫn chưa thực hiện việc cập nhật firmware thường xuyên.

Chúng tôi cho rằng tác động lâu dài của vụ việc này sẽ buộc các tổ chức trên toàn cầu phải xem xét lại chiến lược bảo mật mạng. Thay vì chỉ tập trung vào việc vá lỗ hổng, họ cần có các biện pháp giám sát liên tục để phát hiện các dấu hiệu của backdoor. Đối với Việt Nam, khi chuyển đổi số đang diễn ra mạnh mẽ, việc bảo vệ hạ tầng mạng trở nên quan trọng hơn bao giờ hết.

Lá chắn bảo vệ: Làm gì để không thành 'con mồi' tiếp theo

Trước mối đe dọa từ FIRESTARTER và các malware tương tự, các tổ chức Việt Nam cần thực hiện ngay các bước sau: Đầu tiên, kiểm tra và cập nhật firmware cho tất cả thiết bị Cisco trong hệ thống, đặc biệt chú ý đến các model router và switch đời cũ. Thứ hai, triển khai giải pháp network monitoring để theo dõi traffic bất thường, đặc biệt là các kết nối outbound không được ủy quyền. Thứ ba, thực hiện network segmentation để hạn chế khả năng lan truyền của malware trong trường hợp bị xâm nhập.

Chúng tôi khuyến nghị mạnh mẽ các doanh nghiệp Việt Nam không nên xem nhẹ vụ việc này. Hãy liên hệ với nhà cung cấp thiết bị để được tư vấn về các bản vá bảo mật mới nhất và xây dựng quy trình response plan cho các tình huống tương tự. Đồng thời, đầu tư vào đào tạo nhân lực an ninh mạng để có thể phát hiện và ứng phó kịp thời với các mối đe dọa APT. Trong thời đại mà an ninh mạng quyết định sự tồn vong của tổ chức, việc đầu tư phòng thủ không phải là chi phí mà là khoản đầu tư sinh tồn.