Phát hiện thêm về mã độc VPNFilter: có thể đánh cắp tài khoản ngân hàng và kiểm soát toàn bộ thiết bị

Vài tuần trước, ICTnews đã đưa tin về một mã độc mới có tên VPNFilter có khả năng xâm nhập và chiếm quyền quản lý toàn bộ một hệ thống cá nhân hoặc doanh nghiệp được phát hiện tại hơn 54 quốc gia trong đó có Việt Nam. Tuy nhiên hôm nay, nhóm nghiên cứu bảo mật Talos thuộc công ty an ninh mạng Cisco đã hé lộ thêm nhiều phát hiện mới về VPNFilter và rằng có thể mã độc này còn nguy hiểm hơn chúng ta nghĩ rất nhiều.

Lần này, Cisco cho biết VPNFilter có thể tấn công được vào nhiều thiết bị định tuyến hơn tới từ các hãng mới như ASUS, D-Link, Huawei, Ubiquiti, UPVEL,  ZTE cũng như các model tiên tiến hơn thiết bị từ các hãng đã ghi nhận bị tấn công từ trước bao gồm Linksys, MikroTik, Netgear và TP-Link. Theo ước tính có thêm gần 200.000 thiết bị router trên toàn thế giới đối mặt với rủi ro bảo mật.

Mã độc sử dụng router định tuyến làm vật chủ lây lan chủ yếu

Chưa dừng lại ở đó, Cisco cho biết malware này thực hiện tấn công qua trung gian - tức nó có thể bơm trực tiếp mã độc thông qua đường truyền mạng của router bị nhiễm độc và tới máy tính. Theo đó, mã độc này có thể đánh cắp thông tin đăng nhập được truyền đi giữa một máy tính và website ngân hàng. Tên người dùng và mật khẩu có thể bị sao chép lại và gửi tới máy chủ của hacker. VPNFilter thực hiện hành vi bằng cách hạ cấp kết nối HTTPS xuống thành HTTP, đồng nghĩa với việc giúp malware vượt qua bảo mật mã hóa.

Trưởng nhóm nghiên cứu Talos, ông Craig Williams trong phỏng vấn với trang công nghệ Ars Technica cho biết: "Ban đầu chúng tôi chỉ nghĩ đó là một nỗ lực tấn công các thiết bị định tuyến qua lại trên Internet. Nhưng rồi sau đó nó dường như đã tiến hóa  hoàn toàn vượt sức tưởng tượng của chúng tôi, và giờ nó không chỉ có thể đột nhập vào máy chủ thông qua router, nó còn có thể thao túng mọi thứ truyền đi qua đường truyền router bị lây nhiễm. Chúng có thể thay đổi số dư tài khoản của bạn, khiến số dư nhìn không có gì thay đổi nhưng thực chất bạn lại đang mất tiền, khóa PGP và nhiều thứ khác. Chúng kiểm soát và điều khiển mọi thứ nhận vào cũng như gửi đi từ thiết bị nhiễm độc".

(Ảnh minh họa. Nguồn: Internet)

Nhưng chưa hết, điều đáng ngạc nhiên nhất đó là malware VPNFilter còn có thể tự tải về một mô-đun tự hủy cho phép nó xóa sạch mọi dấu vết, reboot thiết bị và trả router về tình trạng an toàn ban đầu, hoạt động bình thường như chưa từng dính mã độc.

Có thể thấy VPNFilter là một malware cực kỳ tinh vi và phức tạp và việc loại bỏ khỏi thiết bị lây nhiễm là điều không hề dễ dàng. Cisco cho biết malware được thiết lập sao cho Giai đoạn 1 trông giống như một cuộc tấn công backdoor vượt tường mã hóa vào các thiết bị lây nhiễm, sau đó sử dụng các máy tính này tải về tập tin phụ trợ. Giai đoạn 2 và 3 bao gồm tấn công trung gian và tính năng tự hủy.

Ars Technica khuyến cáo người dùng rằng "phòng cháy còn hơn chữa cháy", tất cả các modem đều nên khởi động cứng lại thiết bị - factory reset, sau đó cập nhật thiết bị định tuyến lên phần mềm mới nhất giúp loại bỏ mọi lỗ hổng bảo mật khả thi để có thể chống đỡ được tấn công backdoor Giai đoạn 1 từ VPNFilter. Nếu không qua được bảo mật router từ Giai đoạn 1, malware cũng sẽ không thể lây nhiễm và tiến hành các bước xâm phạm tiếp theo. Thay đổi mật khẩu mặc định cũng được khuyến khích bởi cho phép người dùng kiểm soát router tốt hơn.