Bạn có tin rằng chỉ với một router cũ, tin tặc có thể âm thầm đột nhập vào hàng ngàn doanh nghiệp mà không cần cài đặt bất kỳ phần mềm độc hại nào? Các chuyên gia an ninh mạng vừa cảnh báo về chiến dịch tấn công tinh vi và quy mô chưa từng có của các hacker liên kết với cơ quan tình báo quân sự Nga. Họ đã khai thác các lỗ hổng đã biết trong router Internet cũ để thu thập hàng loạt token xác thực từ người dùng Microsoft Office. Con số gây sốc: hơn 18.000 mạng trên toàn thế giới đã bị xâm nhập.

Khi router thành 'cửa sau' hoàn hảo

Thay vì sử dụng phương pháp truyền thống như gửi email lừa đảo hay cài đặt malware, các hacker được nhà nước Nga hậu thuẫn đã chọn cách tiếp cận khác biệt hoàn toàn. Họ nhắm vào những chiếc router đã lỗi thời và chưa được vá các lỗ hổng bảo mật đã công bố. Chúng tôi cho rằng đây là một bước tiến đáng lo ngại trong chiến thuật tấn công mạng hiện đại.

Authentication token (mã thông báo xác thực) chính là chìa khóa vàng mà tin tặc săn lùng. Đây là những đoạn mã đặc biệt được Microsoft Office tạo ra để xác nhận danh tính người dùng mà không cần nhập lại mật khẩu liên tục. Một khi token bị đánh cắp, hacker có thể mạo danh nạn nhân truy cập vào tài khoản email, tài liệu Office 365 và các dịch vụ đám mây khác trong thời gian dài mà không bị phát hiện.

Kỹ thuật 'ma thuật đen' không cần malware

Điểm đặc biệt nguy hiểm của chiến dịch này là tính âm thầm tuyệt đối. Các hacker không cần phải cài đặt bất kỳ mã độc nào lên máy tính của nạn nhân. Thay vào đó, họ biến router - thiết bị mà hầu hết người dùng ít quan tâm bảo mật - thành công cụ nghe lén hoàn hảo. Khi người dùng trong mạng truy cập các dịch vụ Microsoft, router đã bị tấn công sẽ tự động sao chép và chuyển tiếp token xác thực về máy chủ của tin tặc.

Theo phân tích của chúng tôi, phương pháp này có ưu thế vượt trội so với các cuộc tấn công truyền thống. Nó bỏ qua được hầu hết các giải pháp antivirus và EDR (Endpoint Detection and Response - hệ thống phát hiện và ứng phó tại điểm cuối) vì không có mã độc nào tồn tại trên máy tính người dùng. Các công cụ giám sát bảo mật thông thường sẽ không phát hiện ra bất thường gì trong hoạt động của thiết bị đầu cuối.

18.000 mạng bị xâm nhập: con số gây chấn động

Quy mô của chiến dịch này thực sự đáng báo động. Con số 18.000 mạng bị ảnh hưởng có nghĩa là hàng triệu người dùng cá nhân và hàng ngàn doanh nghiệp trên toàn cầu có thể đã bị xâm phạm dữ liệu mà không hề hay biết. Chúng tôi ước tính mỗi mạng doanh nghiệp trung bình có từ 50-500 người dùng, điều này có nghĩa tổng số nạn nhân có thể lên đến hàng triệu người.

Đặc biệt đáng lo ngại, nhiều tổ chức tại Việt Nam vẫn đang sử dụng các thiết bị router cũ chưa được cập nhật firmware mới nhất. Theo thống kê của Hiệp hội An ninh mạng quốc gia, khoảng 60% doanh nghiệp vừa và nhỏ tại Việt Nam chưa có quy trình cập nhật bảo mật định kỳ cho thiết bị mạng. Điều này khiến chúng ta trở thành mục tiêu dễ dàng cho các cuộc tấn công tương tự.

Hành động khẩn cấp để bảo vệ tổ chức

Trước mối đe dọa nghiêm trọng này, chúng tôi khuyến cáo các doanh nghiệp và cá nhân Việt Nam cần thực hiện ngay các biện pháp phòng ngừa cụ thể. Đầu tiên, hãy kiểm tra và cập nhật firmware cho tất cả thiết bị router trong tổ chức lên phiên bản mới nhất. Liên hệ nhà sản xuất để được hướng dẫn chi tiết về quá trình cập nhật an toàn.

Thứ hai, triển khai giám sát lưu lượng mạng bất thường và thiết lập cảnh báo khi có kết nối đáng ngờ từ router ra bên ngoài. Đồng thời, cân nhắc việc thay đổi mật khẩu và buộc người dùng đăng xuất khỏi tất cả phiên làm việc Microsoft Office hiện tại để vô hiệu hóa các token có thể đã bị tấn công. Cuối cùng, thiết lập xác thực đa yếu tố (MFA) cho tất cả tài khoản Microsoft 365 và thường xuyên rà soát log truy cập để phát hiện sớm hoạt động bất thường.