Tại sao hacker lại kiên nhẫn chờ đợi cả năm trời để khai thác một lỗ hổng đã được công bố rộng rãi? Câu trả lời nằm ở chiến thuật tinh vi của botnet Mirai - tên tuổi từng làm rung chuyển internet toàn cầu. Mạng lưới botnet khét tiếng này vừa tái xuất với đòn tấn công nhắm vào lỗ hổng command injection (lỗ hổng cho phép chèn mã độc) trên các router D-Link đã ngừng được hỗ trợ bảo mật. Điều đáng báo động là hàng nghìn thiết bị này vẫn đang vận hành im lặng tại các hộ gia đình và doanh nghiệp trên khắp thế giới, trong đó có Việt Nam.

Khi kẻ thù biết cách chờ đợi

Command injection là loại lỗ hổng bảo mật cho phép kẻ tấn công chèn và thực thi mã độc thông qua các lệnh hệ thống. Trường hợp này đặc biệt nghiêm trọng vì PoC exploit code (mã khai thác chứng minh khái niệm) đã được công bố công khai từ một năm trước, cung cấp cho tin tặc đầy đủ công cụ để thực hiện tấn công. Thay vì lập tức khai thác như thường lệ, các nhóm điều hành Mirai đã âm thầm quan sát và chờ thời cơ.

Chúng tôi cho rằng chiến thuật trì hoãn này thể hiện sự tinh vi ngày càng tăng của các nhóm cybercrime hiện đại. Bằng cách chờ đợi, chúng tránh được sự chú ý của cộng đồng bảo mật khi lỗ hổng còn nóng hổi. Đồng thời, thời gian trôi qua khiến người dùng dần quên đi cảnh báo, tạo điều kiện thuận lợi cho việc lây nhiễm diện rộng mà không bị phát hiện sớm.

Di sản nguy hiểm của thiết bị đã khai tử

Router D-Link bị nhắm mục tiêu thuộc danh sách thiết bị End-of-Life (EOL) - nghĩa là nhà sản xuất đã chính thức ngừng cung cấp bản vá bảo mật và hỗ trợ kỹ thuật. Đây chính là mảnh đất màu mỡ cho các botnet như Mirai, vì những lỗ hổng trên các thiết bị này sẽ không bao giờ được sửa chữa. Điều này tạo ra những zombie device (thiết bị zombie) - những máy tính vẫn hoạt động bình thường nhưng thực chất đã bị kiểm soát bởi tin tặc.

Theo kinh nghiệm của chúng tôi sau 10 năm theo dõi lĩnh vực an ninh mạng, Việt Nam có tỷ lệ sử dụng thiết bị mạng cũ khá cao do thói quen "nếu vẫn dùng được thì không thay". Nhiều hộ gia đình và doanh nghiệp nhỏ vẫn sử dụng router D-Link đời cũ mà không nhận thức được rằng chúng đã trở thành cửa ngõ cho tin tặc xâm nhập mạng nội bộ.

Hiệu ứng domino từ những router bị nhiễm

Khi một router gia đình bị Mirai chiếm quyền kiểm soát, nó không chỉ đơn thuần trở thành một node trong botnet. Thiết bị này sẽ được sử dụng để quét và tấn công các mục tiêu khác, tham gia vào các cuộc tấn công DDoS (tấn công từ chối dịch vụ phân tán) quy mô lớn, hoặc thậm chí làm bàn đạp để xâm nhập sâu hơn vào mạng nội bộ. Dữ liệu cá nhân, thông tin tài chính, và các hoạt động trực tuyến của gia đình có thể bị giám sát và đánh cắp mà không ai hay biết.

Tác động không chỉ dừng lại ở cá nhân. Khi hàng nghìn router tại Việt Nam bị nhiễm, chúng có thể được sử dụng để tấn công các hệ thống quan trọng trong nước hoặc tham gia vào các chiến dịch tấn công quốc tế, gây ảnh hưởng đến uy tín an ninh mạng của cả nước.

Lộ trình tự vệ cho người dùng Việt Nam

Bước đầu tiên và quan trọng nhất là xác định xem router của bạn có thuộc danh sách thiết bị D-Link đã ngừng hỗ trợ hay không. Truy cập trang web chính thức của D-Link, tìm kiếm model router của bạn để kiểm tra trạng thái hỗ trợ. Nếu thiết bị đã EOL, hãy ngắt kết nối internet ngay lập tức và chuẩn bị thay thế. Đây không phải lúc để tiếc tiền - chi phí thay router mới vẫn rẻ hơn nhiều so với thiệt hại từ việc bị hack.

Chúng tôi khuyến cáo thực hiện factory reset (khôi phục cài đặt gốc) cho router trước khi ngắt kết nối, sau đó thay đổi tất cả mật khẩu của các dịch vụ trực tuyến quan trọng như ngân hàng, email, mạng xã hội. Khi mua router mới, hãy chọn các thương hiệu uy tín với cam kết hỗ trợ bảo mật dài hạn, và thiết lập mật khẩu quản trị mạnh thay vì để mặc định. Việc cập nhật firmware định kỳ cũng cần trở thành thói quen bắt buộc trong thời đại cyber warfare như hiện tại.