Bỉ Ngạn Hoa
Moderator
Theo nghiên cứu mới được công bố bởi Black Lotus Labs, bộ phận nghiên cứu an ninh mạng của hãng Lumen Technologies, một cuộc tấn công mạng đã vô hiệu hóa hơn 600.000 bộ định tuyến Internet (router) trên một số bang Trung Tây của Mỹ trong khoảng thời gian từ ngày 25 đến ngày 27 tháng 10 năm ngoái. Vụ việc không được tiết lộ vào thời điểm đó, mặc dù hàng trăm nghìn bộ định tuyến không thể hoạt động được.
Cuộc điều tra cũng không chỉ rõ công ty nào là đối tượng bị tấn công nhưng hãng tin Reuters cho biết họ đã xác định được mục tiêu là Windstream, một ISP có trụ sở tại Arkansas, dựa trên các thông tin tham khảo chéo về tình trạng ngừng hoạt động Internet được báo cáo trong cùng thời gian.
Black Lotus Labs đã điều tra dựa trên các khiếu nại lặp đi lặp lại trên mạng xã hội và một số bộ định tuyến cụ thể, đặc biệt là ActionTec T3200 và ActionTec T3260. Người dùng cho biết vấn đề của họ chỉ được giải quyết khi nhà cung cấp thay thế bộ định tuyến bị ảnh hưởng.
Cuộc tấn công được xác định thực hiện thông qua bản cập nhật phần mềm có chứa mã độc “Chalubo”, một trojan truy cập từ xa phổ biến. Không rõ bản cập nhật phần mềm đó được chuyển đến khách hàng bằng cách nào (thông qua một cách khai thác không xác định, thông tin xác thực yếu hay quyền truy cập vào các công cụ quản trị) hoặc ai đứng đằng sau cuộc tấn công mà các nhà nghiên cứu gọi là “một hành động có chủ ý nhằm gây ra sự cố ngừng hoạt động”.
Từ vụ tấn công, Black Lotus Labs khuyến nghị các tổ chức nên bảo mật các thiết bị quản lý và tránh các điểm yếu bảo mật cơ bản như mật khẩu mặc định. Người tiêu dùng cũng được khuyến khích cập nhật các bản cập nhật bảo mật thường xuyên.
Cuộc điều tra cũng không chỉ rõ công ty nào là đối tượng bị tấn công nhưng hãng tin Reuters cho biết họ đã xác định được mục tiêu là Windstream, một ISP có trụ sở tại Arkansas, dựa trên các thông tin tham khảo chéo về tình trạng ngừng hoạt động Internet được báo cáo trong cùng thời gian.
Black Lotus Labs đã điều tra dựa trên các khiếu nại lặp đi lặp lại trên mạng xã hội và một số bộ định tuyến cụ thể, đặc biệt là ActionTec T3200 và ActionTec T3260. Người dùng cho biết vấn đề của họ chỉ được giải quyết khi nhà cung cấp thay thế bộ định tuyến bị ảnh hưởng.
Cuộc tấn công được xác định thực hiện thông qua bản cập nhật phần mềm có chứa mã độc “Chalubo”, một trojan truy cập từ xa phổ biến. Không rõ bản cập nhật phần mềm đó được chuyển đến khách hàng bằng cách nào (thông qua một cách khai thác không xác định, thông tin xác thực yếu hay quyền truy cập vào các công cụ quản trị) hoặc ai đứng đằng sau cuộc tấn công mà các nhà nghiên cứu gọi là “một hành động có chủ ý nhằm gây ra sự cố ngừng hoạt động”.
Từ vụ tấn công, Black Lotus Labs khuyến nghị các tổ chức nên bảo mật các thiết bị quản lý và tránh các điểm yếu bảo mật cơ bản như mật khẩu mặc định. Người tiêu dùng cũng được khuyến khích cập nhật các bản cập nhật bảo mật thường xuyên.
