Các quản trị viên của firewall WatchGuard đang được cảnh báo để tìm kiếm các dấu hiệu xâm phạm trên các thiết bị sau khi công bố báo cáo về phần mềm độc hại được phát tán bởi một nhóm đe dọa do tình báo quân đội Nga điều hành.
Báo cáo do các cơ quan tình báo mạng của Mỹ và Anh đưa ra trong tuần rồi cho biết nhóm được gọi là Sandworm (còn được một số nhà nghiên cứu gọi là APT28, hay Voodoo Bear) đã âm thầm triển khai thứ được mệnh danh là phần mềm độc hại Cyclops Blink thông qua một mạng botnet của các thiết bị mạng bị khai thác, bao gồm các router văn phòng nhỏ/văn phòng gia đình (SOHO) và các thiết bị lưu trữ kết nối mạng (NAS).
Cyclops Blink là sự thay thế cho phần mềm độc hại tương tự có tên VPNFilter.
VPNFilter và mạng botnet của nó đã được các nhà nghiên cứu tại dịch vụ tình báo về mối đe dọa Talos của Cisco Systems đưa ra vào năm 2018. Bộ Tư pháp Hoa Kỳ sau đó đã thông báo nỗ lực phá vỡ VPNFilter và cái mà họ gọi là một mạng botnet toàn cầu gồm hàng trăm nghìn bộ router SOHO bị nhiễm virus và các thiết bị nối mạng khác.
Theo báo cáo mới của Mỹ/Anh, Cyclops Blink đã được triển khai ít nhất từ tháng 6/2019, 14 tháng sau khi VPNFilter bị gián đoạn.
“Giống với VPNFilter, việc triển khai Cyclops Blink cũng có vẻ bừa bãi và phổ biến,” báo cáo cho biết thêm: “Cho đến nay, chủ yếu triển khai Cyclops Blink cho các thiết bị WatchGuard, nhưng có khả năng Sandworm sẽ có khả năng biên dịch phần mềm độc hại cho các kiến trúc và firmware khác.” Báo cáo cho biết, chỉ những thiết bị WatchGuard được cấu hình lại từ cài đặt mặc định của nhà sản xuất để mở giao diện quản lý từ xa để cho phép truy cập bên ngoài vào mới có thể bị nhiễm virus.
Báo cáo gọi phần mềm độc hại này là phức tạp và theo module, với chức năng cốt lõi cơ bản là báo hiệu thông tin thiết bị quay trở lại máy chủ và cho phép các file được tải xuống và thực thi. Sau khi khai thác lần đầu một thiết bị, Cyclops Blink thường được triển khai như một phần của bản cập nhật firmware giả mạo.
Báo cáo cho biết WatchGuard đã tạo công cụ và hướng dẫn để cho phép phát hiện và loại bỏ Cyclops Blink trên các thiết bị WatchGuard thông qua quy trình nâng cấp không theo tiêu chuẩn. Chủ sở hữu thiết bị nên làm theo từng bước trong các hướng dẫn này để đảm bảo rằng thiết bị được vá lên phiên bản mới nhất và mọi sự lây nhiễm đều được loại bỏ.
WatchGuard nói rằng, dựa trên cuộc điều tra của chính họ, công việc được thực hiện với Mandiant và thông tin do FBI cung cấp, không có bằng chứng về việc đánh cắp dữ liệu từ WatchGuard hoặc khách hàng của họ. Các thiết bị tường lửa WatchGuard sẽ không gặp rủi ro nếu chúng chưa bao giờ được cấu hình cho phép truy cập quản lý không hạn chế từ Internet.
Vì Cyclops Blink có thể được cấu hình lại để tấn công nhiều thiết bị, các cơ quan tình báo đã đưa ra lời khuyên sau cho các quản trị viên CNTT, áp dụng để bảo vệ chống lại bất kỳ phần mềm độc hại nào:
- Không để lộ giao diện quản lý của các thiết bị mạng lên mạng internet;
- Áp dụng các bản vá bảo mật kịp thời;
- Sử dụng xác thực đa yếu tố trên các thiết bị mạng để giảm tác động của việc xâm phạm mật khẩu;
- Hướng dẫn nhân viên cách báo cáo các email nghi ngờ lừa đảo;
- Thiết lập khả năng giám sát an ninh mạng;
- Ngăn chặn và phát hiện chuyển động ngang trong mạng của tổ chức bạn.
Để biết thêm chi tiết vui lòng liên hệ với chúng tôi theo các thông tin dưới đây.
EmeraldETL là Công Ty chuyên về Công Nghệ, là Đại lý của rất nhiều dòng sản phẩm bảo mật cao cấp tại Việt Nam. Cung cấp từ những dòng bảo mật doanh nghiệp đến bảo mật đa quốc gia.
- Trụ sở: Tầng 2, 27A Hoàng Việt, Phường 4, Quận Tân Bình, TP.HCM
- Hotline: 0913324060
- Website: https://emerald.com.vn
Nguồn: WhataWin | Getty Images
