- Theo nghiên cứu được công bố ngày hôm qua (30/5), một nhóm hacker không xác định danh tính đã phát động một cuộc tấn công mạng quy mô lớn vào một công ty viễn thông ở miền trung nước Mỹ vào cuối năm ngoái, làm vô hiệu hóa hàng trăm nghìn bộ định tuyến Internet.
 |
Các nhà phân tích bảo mật của Black Lotus Labs thuộc Lumen Technologies đã phát hiện ra cuộc tấn công trong những tháng gần đây và báo cáo về nó trong một bài đăng trên blog. Vụ tấn công xảy ra vào tháng 10 đã khiến hơn 600.000 bộ định tuyến Internet bị ngoại tuyến. Các chuyên gia độc lập cho biết đây dường như là một trong những cuộc tấn công mạng nghiêm trọng nhất từ trước đến nay nhằm vào lĩnh vực viễn thông của Mỹ.
Các nhà nghiên cứu cho biết tin tặc đã cài đặt phần mềm độc hại làm gián đoạn truy cập Internet từ ngày 25 đến ngày 27/10 trên nhiều bang Trung Tây. Các nhà phân tích đã tìm thấy phần mềm độc hại, tiếp tục lan truyền trên Internet nhiều tháng sau đó, thông qua một số liên kết tệp nhất định mà tin tặc để lại.
Báo cáo không nêu tên công ty bị tấn công. Lumen cũng không quy vụ tấn công mạng nói trên cho một quốc gia cụ thể hoặc một nhóm đã biết nào. Các nhà nghiên cứu cho rằng, những kẻ phá hoại đã sử dụng các phương pháp phổ biến khiến chúng khó bị xác định hơn.
Các bộ định tuyến Internet đã bị vô hiệu hóa khi một bản cập nhật chương trình firmware độc hại được gửi tới khách hàng của công ty đã xóa các phần tử trong mã hoạt động của bộ định tuyến, khiến chúng không thể hoạt động được. Hiện vẫn không rõ làm thế nào bản cập nhật chương trình firmware này được chuyển đến người dùng.
Firmware là thuật ngữ dùng để chỉ đến những chương trình máy tính cố định có chức năng cung cấp, kiểm soát và điều khiển cơ bản các thiết điện tử. Hiểu một cách đơn giản thì Firmware là một phần mềm có vai trò kiểm soát các dữ liệu trên thiết bị đó.
Báo cáo của Lumen cho biết: “Chúng tôi đánh giá với độ tin cậy cao rằng bản cập nhật chương trình firmware độc hại là một hành động có chủ ý nhằm gây ra sự cố ngừng hoạt động. Các cuộc tấn công mang tính hủy diệt kiểu như vậy rất đáng lo ngại, đặc biệt là trong trường hợp này.”
Việc so sánh các chi tiết và mô tả sự kiện trong báo cáo của Lumen với tình trạng ngừng hoạt động Internet vào ngày xảy ra vụ tấn công đã chỉ ra một thực thể: nhà cung cấp dịch vụ Internet Windstream có trụ sở tại Arkansas.
Người phát ngôn của Windstream từ chối bình luận về những thông tin nói trên và FBI cũng vậy. Cơ quan An ninh Quốc gia và Bộ An ninh Nội địa Mỹ đã chuyển các câu hỏi tới FBI.
Các nhà nghiên cứu miêu tả hậu quả tiềm tàng từ cuộc tấn công nói trên là nghiêm trọng.
"Một phần lớn khu vực dịch vụ của ISP này bao gồm các cộng đồng nông thôn hoặc chưa được phục vụ đầy đủ; những nơi mà người dân có thể mất quyền truy cập vào các dịch vụ khẩn cấp, những công ty về nông nghiệp có thể mất thông tin quan trọng từ việc giám sát cây trồng từ xa trong quá trình thu hoạch và các nhà cung cấp dịch vụ chăm sóc sức khỏe bị cắt đứt khỏi dịch vụ y tế từ xa hoặc hồ sơ bệnh nhân,” các nhà nghiên cứu viết.
Có rất ít dấu hiệu công khai về vụ việc. Trên nền tảng mạng xã hội Reddit, những khách hàng tự nhận là khách hàng của Windstream đã đăng khiếu nại về một đợt ngừng hoạt động kỳ lạ bắt đầu vào khoảng ngày 25/10 - ngày được Lumen lưu ý trong thông tin về vụ tấn công mạng.
Người dùng Reddit đã mô tả cách bộ định tuyến của họ không kết nối với nhà cung cấp dịch vụ Internet nên họ không thể truy cập Internet. Người dùng cho biết Windstream đang yêu cầu họ trả lại bộ định tuyến đã bị vô hiệu hóa để lấy thiết bị mới vì dường như không thể khắc phục từ xa.
Không rõ liệu FBI, cơ quan chịu trách nhiệm điều tra tội phạm mạng của Mỹ, có được thông báo về vụ hack hay không. Nhưng các công ty tư nhân thường chọn cách không tiết lộ những sự việc như vậy.
