Ngày 15/9, hãng bảo mật FireEye cho biết các cuộc tấn công này sử dụng một phần mềm rất tinh vi có tên SYNful Knock để lây nhiễm vào các bộ định tuyến được sản xuất bởi Cisco, là hãng cung cấp bộ định tuyến hàng đầu thế giới hiện nay.

Tội phạm không gian mạng đặc biệt để ý đến các bộ định tuyến do nó hoạt động bên ngoài các bức tường lửa, các hệ thống phòng chống vi-rút, các hệ thống phát hiện hành vi sai trái và các công cụ bảo mật khác để các tổ chức, doanh nghiệp bảo vệ lưu lượng dữ liệu.

Theo ông Dave DeWalt, CEO của FireEye, thì nếu một ai đó chiếm được quyền điều khiển một bộ định tuyến thì họ có thể sở hữu được toàn bộ dữ liệu của các doanh nghiệp hay chính phủ hoạt động sau bộ định tuyến này. Theo ông thì đây là công cụ do thám cuối cùng, công cụ gián điệp cuối cùng mà tội phạm không gian mạng luôn mong muốn có được.

Hãng Cisco xác nhận họ đã cảnh báo khách hàng của mình về các cuộc tấn công trong tháng 8 vừa qua và cho biết đây không phải lỗi trong phần mềm của hãng. Thay vào đó, các kẻ tấn công đã đánh cắp các tài khoản hợp lệ từ các tổ chức là mục tiêu hoặc truy nhập vật lí vào các thiết bị định tuyến.

Trong thông báo của mình, hãng Cisco cho biết họ đã chia sẻ hướng dẫn cách để khách hàng có thể làm cho mạng an toàn hơn, ngăn chặn, phát hiện và khắc phục các dạng tấn công kiểu này.

Nghi ngờ tấn công do gián điệp không gian mạng

Cho đến thời điểm này, công ty Mandiant, một công ty con của FireEye, đã phát hiện ra 14 bộ định tuyến bị dính phần mềm độc hại này ở Ấn Độ, Mexico, Philippines và Ukraina. Bên cạnh đó, công ty này cho biết dường như số bộ định tuyến mạng bị phát hiện chỉ là phần nổi của tảng băng chìm.

Theo hãng FireEye thì do phần mền độc hại đã bị lây nhiễm sâu vào trong bộ định tuyến nên việc tắt và khởi động lại cũng không loại bỏ được nó. Điều này sẽ khiến các thiết bị bị lây nhiễm sẽ phải cài lại từ đầu và tiêu tốn rất nhiều thời gian của các chuyên gia kĩ thuật.

Theo ông DeWalt thì cho đến nay, các phần mềm độc hại đối với các bộ định tuyến sử dụng cho thương mại chỉ biết đến theo lí thuyết và khác hẳn với các bộ định tuyến dùng cho các hộ gia đình đã từng bị lây nhiễm và được báo chí nhắc đến nhiều trong thời gian vừa qua.

Các chuyên gia cho rằng rất ít quốc gia có khả năng thực hiện các cuộc tấn công vào các thiết bị mạng, trong đó có Anh, Trung Quốc, Israel, Nga và Mỹ. Tuy nhiên, ông DeWakt đã từ chối nói quốc gia nào hay ai đứng đằng sau việc tấn công các bộ định tuyến được sản xuất bởi Cisco.

Các bộ định tuyến bị ảnh hưởng là các dòng sản phẩm Cisco 1841, 2811, 3825 và các cuộc tấn công diễn ra cách đây ít nhất một năm. Hãng FireEye cho biết, trước họ chỉ thông báo cho Cisco thông tin này, nhưng nay họ thấy cần thông báo rộng rãi để có thể khắc phục lỗi nhiều nhất có thể.

Theo Nhandan.