Cái router wifi nhỏ bé trong nhà bạn đang âm thầm trở thành "cửa ngõ" cho tin tặc quốc gia. Tropic Trooper, nhóm APT (Advanced Persistent Threat - tấn công bền bỉ nâng cao) được tài trợ bởi nhà nước Trung Quốc, vừa chuyển hướng từ việc tấn công các máy chủ doanh nghiệp sang nhắm vào những chiếc router gia đình tưởng chừng vô hại. Nhật Bản đang chịu đòn chính trong chiến dịch tấn công mới này, đánh dấu sự thay đổi đáng lo ngại trong chiến thuật của các nhóm tin tặc có sự hậu thuẫn từ nhà nước.

Khi router gia đình thành "đồn tiền phong" tấn công mạng

Tropic Trooper, còn được biết đến với tên gọi Earth Centaur hay KeyBoy, từ lâu nổi tiếng với khả năng di chuyển nhanh chóng và thử nghiệm những vector tấn công kỳ lạ. Nhóm này từng tập trung vào các mục tiêu chính phủ và doanh nghiệp tại Đài Loan, Philippines, Hong Kong. Nhưng chiến dịch mới nhất cho thấy sự chuyển mình táo bạo: thay vì tấn công trực tiếp vào hệ thống mục tiêu, họ biến router gia đình thành những "đồn tiền phong" để xâm nhập.

Chúng tôi cho rằng đây là bước tiến hóa logic trong chiến thuật tấn công APT. Router gia đình thường có bảo mật yếu, ít được cập nhật firmware, và quan trọng hơn - ít ai nghi ngờ chúng có thể trở thành công cụ tấn công. Việc kiểm soát được router có nghĩa tin tặc có thể theo dõi toàn bộ lưu lượng mạng, chặn bắt thông tin nhạy cảm, thậm chí sử dụng làm bàn đạp để tấn công các mục tiêu khác trong mạng nội bộ.

Nhật Bản - mục tiêu mới trong tầm ngắm

Điều đáng chú ý là sự xuất hiện của Nhật Bản trong danh sách mục tiêu của Tropic Trooper. Trước đây, nhóm này chủ yếu hoạt động tại khu vực Đông Nam Á và Đài Loan. Việc mở rộng sang Nhật Bản cho thấy tham vọng lớn hơn, có thể liên quan đến căng thẳng địa chính trị gia tăng giữa Trung Quốc và các đồng minh của Mỹ trong khu vực.

Theo phân tích của chúng tôi, việc nhắm vào router gia đình tại Nhật Bản có thể phục vụ nhiều mục đích: thu thập thông tin tình báo, chuẩn bị cho các cuộc tấn công lớn hơn trong tương lai, hoặc thậm chí tạo ra mạng botnet từ các thiết bị IoT (Internet of Things - internet vạn vật) để sử dụng trong các chiến dịch khác. Số lượng router bị compromise (xâm phạm) chưa được công bố cụ thể, nhưng quy mô tấn công được đánh giá là đáng kể.

Kỹ thuật tấn công tinh vi và khó phát hiện

Tropic Trooper đã tinh chỉnh TTPs (Tactics, Techniques, and Procedures - chiến thuật, kỹ thuật và quy trình) của mình để phù hợp với mục tiêu mới. Thay vì sử dụng các công cụ tấn công truyền thống, nhóm này đã phát triển những malware (phần mềm độc hại) chuyên biệt để khai thác các lỗ hổng trong firmware của router. Các lỗ hổng zero-day (lỗ hổng chưa được vá) trong thiết bị mạng gia đình trở thành vũ khí chính.

Đặc biệt nguy hiểm là khả năng duy trì sự hiện diện lâu dài mà không bị phát hiện. Một khi đã xâm nhập thành công, malware có thể tự cập nhật, xóa dấu vết hoạt động, và thậm chí "sống sót" qua các lần khởi động lại thiết bị. Người dùng thông thường hầu như không thể nhận ra router của mình đã bị nhiễm malware, vì hiệu năng internet vẫn bình thường và không có dấu hiệu bất thường rõ ràng.

Tác động lan rộng và nguy cơ với Việt Nam

Mối đe dọa từ Tropic Trooper không chỉ dừng lại ở Nhật Bản. Với lịch sử hoạt động mạnh mẽ tại Đông Nam Á, rất có khả năng nhóm này sẽ sớm nhắm đến các quốc gia khác trong khu vực, bao gồm cả Việt Nam. Theo báo cáo của VNCERT (Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam), năm 2023 đã ghi nhận hơn 12.000 vụ tấn công mạng vào các hệ thống thông tin tại Việt Nam, trong đó có nhiều vụ nhắm vào hạ tầng mạng.

Đặc biệt tại Việt Nam, với hàng triệu hộ gia đình sử dụng router wifi và tỷ lệ cập nhật bảo mật còn thấp, nguy cơ bị khai thác là rất cao. Chúng tôi ước tính có thể có hàng trăm nghìn router gia đình tại Việt Nam đang chạy firmware lỗi thời, trở thành mục tiêu dễ dàng cho các nhóm APT. Điều này không chỉ đe dọa an ninh thông tin cá nhân mà còn có thể được lợi dụng để tấn công các tổ chức, doanh nghiệp thông qua mạng nội bộ.

Hướng dẫn bảo vệ router khỏi tấn công APT

Để bảo vệ router khỏi các cuộc tấn công như của Tropic Trooper, người dùng Việt Nam cần thực hiện ngay các bước sau: Đầu tiên, thay đổi mật khẩu mặc định của router thành mật khẩu mạnh tối thiểu 12 ký tự, bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt. Tiếp theo, kiểm tra và cập nhật firmware router lên phiên bản mới nhất từ website chính thức của nhà sản xuất.

Tắt các tính năng không cần thiết như WPS (WiFi Protected Setup), remote management, và UPnP (Universal Plug and Play) để giảm bề mặt tấn công. Thường xuyên kiểm tra danh sách thiết bị kết nối để phát hiện các thiết bị lạ. Quan trọng nhất, cân nhắc thay thế các router cũ trên 5 năm tuổi vì thường không còn nhận được cập nhật bảo mật. Với mức độ nguy hiểm ngày càng tăng từ các nhóm APT, việc đầu tư vào bảo mật router không còn là tùy chọn mà đã trở thành nhu cầu thiết yếu.