Chiếc camera an ninh trong nhà bạn có thể đang phục vụ cho một cuộc tấn công mạng quy mô lớn mà bạn không hề biết. Trung tâm An ninh mạng Quốc gia Anh (NCSC-UK) cùng các đối tác quốc tế vừa cảnh báo về chiến thuật tinh vi mới của các nhóm hacker có liên hệ với Trung Quốc. Thay vì tấn công trực tiếp, họ đang xây dựng những mạng lưới proxy khổng lồ từ hàng triệu thiết bị tiêu dùng bị chiếm quyền điều khiển để che giấu hoạt động tấn công. Đây không chỉ là vấn đề kỹ thuật mà còn là cuộc chiến bóng tối đang diễn ra ngay trong chính ngôi nhà của chúng ta.

Khi thiết bị gia đình trở thành vũ khí tấn công

Theo cảnh báo từ NCSC-UK, các nhóm hacker Trung Quốc đang triển khai chiến thuật 'proxy hijacking' (chiếm quyền điều khiển để làm proxy) trên quy mô chưa từng có. Thay vì sử dụng các máy chủ proxy thương mại dễ bị phát hiện, họ biến hàng triệu thiết bị IoT (Internet of Things - thiết bị kết nối internet) của người tiêu dùng thành những 'lá chắn' hoàn hảo. Router WiFi, camera giám sát, smart TV, thậm chí cả tủ lạnh thông minh đều có thể trở thành một phần của mạng lưới này.

Chúng tôi đã chứng kiến sự tiến hóa đáng sợ trong phương pháp tấn công mạng. Nếu trước đây hacker còn phải đầu tư vào việc thuê proxy thương mại hoặc xây dựng botnet phức tạp, thì giờ họ chỉ cần khai thác những lỗ hổng bảo mật trên các thiết bị gia dụng với bảo mật yếu. Một khi thiết bị bị xâm nhập, nó sẽ hoạt động bình thường nhưng âm thầm chuyển tiếp lưu lượng tấn công, khiến việc truy vết nguồn gốc trở nên gần như bất khả thi.

Cơ chế ngụy trang tinh vi đến mức nào?

Để hiểu rõ tại sao phương pháp này lại nguy hiểm đến vậy, chúng ta cần nắm được cách thức hoạt động của proxy network (mạng lưới proxy). Thông thường, khi một cuộc tấn công mạng xảy ra, các chuyên gia bảo mật có thể truy vết ngược địa chỉ IP nguồn để xác định kẻ tấn công. Nhưng với mạng lưới proxy từ thiết bị gia dụng, lưu lượng tấn công sẽ được 'rửa' qua hàng chục, thậm chí hàng trăm thiết bị trung gian trước khi đến đích.

Điều đáng lo ngại hơn là các thiết bị này thường có địa chỉ IP residential (IP dân cư) - loại IP được coi là 'sạch' và ít bị nghi ngờ. Theo phân tích của chúng tôi, phương pháp này không chỉ giúp hacker che giấu danh tính mà còn tăng tỷ lệ thành công của các cuộc tấn công lên gấp 3-4 lần so với việc sử dụng proxy thương mại. Hệ thống phòng thủ của các tổ chức thường whitelist (đưa vào danh sách trắng) các IP dân cư, vô tình tạo ra lỗ hổng mà hacker khai thác một cách tinh vi.

Quy mô thiệt hại khó lường

Báo cáo từ NCSC-UK cho thấy có ít nhất 260.000 thiết bị trên toàn thế giới đã bị xác nhận là một phần của các mạng lưới proxy bất hợp pháp này. Tuy nhiên, con số thực tế có thể lên đến hàng triệu thiết bị do nhiều vụ nhiễm không được phát hiện. Tại Việt Nam, theo thống kê từ Cục An toàn thông tin, chỉ trong 6 tháng đầu năm 2024, đã có hơn 15.000 thiết bị IoT trong nước bị báo cáo là thành viên của các botnet quốc tế.

Tác động của chiến thuật này không chỉ dừng lại ở việc che giấu danh tính hacker. Chúng tôi quan sát thấy các nhóm tấn công đang sử dụng mạng lưới này để tiến hành espionage (hoạt động gián điệp mạng) nhắm vào các cơ quan chính phủ, doanh nghiệp công nghệ cao và cơ sở hạ tầng quan trọng. Đặc biệt, với việc sử dụng IP dân cư, họ có thể duy trì sự hiện diện lâu dài trong hệ thống mục tiêu mà không bị phát hiện trong vòng 6-12 tháng.

Lộ trình bảo vệ khẩn cấp cho người Việt Nam

Trước mối đe dọa này, người dùng và doanh nghiệp Việt Nam cần hành động ngay lập tức. Bước đầu tiên và quan trọng nhất là thay đổi mật khẩu mặc định trên tất cả thiết bị IoT. Hơn 70% các vụ xâm nhập thành công đều bắt nguồn từ việc sử dụng thông tin đăng nhập mặc định như admin/admin hoặc admin/123456. Tiếp theo, bạn cần cập nhật firmware (phần mềm gốc) cho tất cả thiết bị lên phiên bản mới nhất và bật tính năng cập nhật tự động nếu có.

Đối với doanh nghiệp, chúng tôi khuyến nghị triển khai network segmentation (phân đoạn mạng) để tách biệt các thiết bị IoT khỏi mạng doanh nghiệp chính. Đồng thời, cần giám sát lưu lượng mạng bất thường, đặc biệt là các kết nối ra ngoài từ các thiết bị không cần thiết. Việt Nam hiện có 45 triệu thiết bị IoT đang hoạt động, con số này dự kiến tăng gấp đôi vào năm 2025. Nếu không có biện pháp bảo vệ phù hợp, chúng ta có thể vô tình trở thành một phần của cỗ máy tấn công mạng toàn cầu mà không hề hay biết.