FBI Phá Vỡ Mạng Lưới Router Tấn Công DNS của GRU Nga

FBI và DOJ Triệt Phá Mạng Lưới Router của Tình báo Quân sự Nga

Bộ Tư pháp Hoa Kỳ và FBI thông báo vào ngày 7 tháng 4 năm 2026 rằng họ đã hoàn thành một chiến dịch được tòa án cho phép nhằm phá vỡ mạng lưới các router bị xâm nhập đang được sử dụng bởi một đơn vị thuộc Cơ quan Tình báo Quân sự chính của Nga, hay còn được biết đến là GRU. Chiến dịch này nhắm vào hàng nghìn router văn phòng nhỏ và gia đình (SOHO) đã bị bí mật chiếm quyền điều khiển để thực hiện các cuộc tấn công DNS hijacking nhằm vào các cá nhân và tổ chức trong các lĩnh vực quân sự, chính phủ và cơ sở hạ tầng thiết yếu.

Quy mô và phương thức của chiến dịch cho thấy rõ cách các tác nhân được nhà nước bảo trợ khai thác phần cứng tiêu dùng bị bỏ qua để thực hiện các chiến dịch thu thập thông tin tình báo tinh vi.

Cuộc Tấn Công DNS Hijacking Hoạt Động Như Thế Nào

Đơn vị GRU đã khai thác các lỗ hổng đã biết trong router TP-Link, một thương hiệu phổ biến trong các gia đình và doanh nghiệp nhỏ trên toàn thế giới. Sau khi xâm nhập vào thiết bị, những kẻ tấn công đã thao túng cài đặt DNS của nó. DNS, hay Hệ thống Tên miền, là quy trình dịch địa chỉ trang web như "example.com" thành địa chỉ IP dạng số mà máy tính sử dụng để kết nối. Về cơ bản, nó hoạt động như một cuốn danh bạ địa chỉ của internet.

Bằng cách thay đổi cài đặt DNS trên các router bị xâm nhập, GRU có thể chuyển hướng lưu lượng truy cập qua các máy chủ do chúng kiểm soát mà chủ thiết bị không hề hay biết. Kỹ thuật này được gọi là tấn công Actor-in-the-Middle. Khi nạn nhân cố gắng truy cập các trang web hợp pháp hoặc đăng nhập vào tài khoản, các yêu cầu của họ bị âm thầm chuyển hướng. Do phần lớn lưu lượng truy cập này không được mã hóa, những kẻ tấn công có thể thu thập mật khẩu, token xác thực và nội dung email dưới dạng văn bản thuần túy.

Các nạn nhân không nhất thiết phải làm bất cứ điều gì sai. Họ đang sử dụng router bình thường của mình, truy cập các trang web bình thường. Cuộc tấn công xảy ra ở cấp độ cơ sở hạ tầng, nằm ngoài tầm nhìn của hầu hết người dùng và thậm chí nhiều đội ngũ IT.

Tại Sao Router SOHO Là Mục Tiêu Dai Dẳng

Router văn phòng nhỏ và gia đình đã trở thành điểm xâm nhập ưa thích của các tác nhân đe dọa tinh vi vì một số lý do. Chúng rất nhiều, thường được bảo trì kém và hiếm khi được giám sát. Các bản cập nhật firmware trên router tiêu dùng không thường xuyên, và nhiều người dùng không bao giờ thay đổi thông tin đăng nhập mặc định hoặc xem xét cài đặt thiết bị sau khi thiết lập ban đầu.

Đây không phải là lần đầu tiên FBI phải can thiệp để dọn dẹp các mạng lưới router bị xâm nhập. Các chiến dịch tương tự đã nhắm vào cơ sở hạ tầng botnet trong những năm trước, liên quan đến phần cứng từ nhiều nhà sản xuất. Sự nhất quán của vectơ tấn công này phản ánh một vấn đề cấu trúc: router nằm ở ranh giới của mọi mạng lưới nhưng nhận được ít sự chú ý về bảo mật hơn nhiều so với các thiết bị đằng sau chúng.

Chiến dịch được tòa án cho phép của Bộ Tư pháp bao gồm việc sửa đổi từ xa các router bị xâm nhập để cắt đứt quyền truy cập của GRU và xóa các cấu hình độc hại. Loại can thiệp này rất hiếm và đòi hỏi sự chấp thuận của tư pháp, cho thấy mức độ nghiêm trọng mà các cơ quan chức năng Hoa Kỳ đánh giá về mối đe dọa này.

Điều Này Có Ý Nghĩa Gì Đối Với Bạn

Nếu bạn sử dụng router tiêu dùng tại nhà hoặc trong văn phòng nhỏ, chiến dịch này là tín hiệu trực tiếp cho thấy phần cứng của bạn có thể trở thành một phần của hoạt động tình báo mà bạn không hề biết hay tham gia. Cuộc tấn công không yêu cầu nạn nhân nhấp vào liên kết độc hại hay tải xuống bất cứ thứ gì. Nó chỉ cần router của họ chạy firmware có lỗ hổng và lưu lượng internet của họ chạy qua nó mà không được mã hóa.

Có những bước cụ thể đáng thực hiện để phản hồi tin tức này.

Thứ nhất, kiểm tra xem router của bạn có bản cập nhật firmware nào không và cài đặt chúng. Các nhà sản xuất router thường xuyên vá các lỗ hổng đã biết, nhưng những bản vá đó chỉ hữu ích khi được cài đặt. Nhiều router cho phép bật cập nhật tự động thông qua giao diện cài đặt của chúng.

Thứ hai, thay đổi thông tin đăng nhập mặc định trên router của bạn. Một số lượng lớn các thiết bị bị xâm nhập trong các chiến dịch như thế này được truy cập bằng cách sử dụng tên người dùng và mật khẩu mặc định của nhà máy được ghi lại công khai.

Thứ ba, hãy cân nhắc xem lưu lượng internet của bạn trông như thế nào khi rời khỏi router. Lưu lượng không được mã hóa, dù là kết nối HTTP, một số giao thức email, hay một số giao tiếp ứng dụng, có thể bị đọc nếu DNS của bạn đang bị chuyển hướng. Sử dụng các giao thức DNS được mã hóa như DNS-over-HTTPS (DoH) hoặc DNS-over-TLS (DoT) đảm bảo rằng các truy vấn DNS của bạn không thể bị chặn hoặc thao túng bởi một router bị xâm nhập hoặc máy chủ mà nó chuyển hướng lưu lượng qua.

Thứ tư, VPN có thể cung cấp thêm một lớp bảo vệ bằng cách mã hóa lưu lượng giữa thiết bị của bạn và một máy chủ đáng tin cậy trước khi nó đến router hoặc nhà cung cấp dịch vụ internet của bạn. Điều này có nghĩa là ngay cả khi DNS của router đã bị giả mạo, nội dung lưu lượng của bạn vẫn không thể đọc được đối với bất kỳ ai đứng giữa bạn và đích đến của bạn.

Không có biện pháp nào trong số này phức tạp hay tốn kém, nhưng chiến dịch của GRU cho thấy rõ ràng rằng lưu lượng không được mã hóa và phần cứng chưa được vá tạo ra rủi ro thực sự cho những người thực sự, không chỉ là rủi ro trừu tượng.

Sự can thiệp của FBI đã phá vỡ mạng lưới cụ thể này, nhưng các lỗ hổng cơ bản trong phần cứng router tiêu dùng vẫn còn đó. Luôn cập nhật thông tin và thực hiện các bước bảo vệ cơ bản là phản ứng thực tế nhất đối với một bề mặt tấn công khó có thể biến mất.