Tin Tặc Nga Đang Chiếm Quyền Điều Khiển Cài Đặt DNS Của Router Gia Đình

Tin Tặc Quân Sự Nga Nhắm Mục Tiêu Vào Router Gia Đình Và Văn Phòng

Theo báo cáo mới từ các nhà nghiên cứu an ninh mạng, một chiến dịch tấn công DNS tinh vi có liên hệ với quân đội Nga đã xâm phạm hơn 5.000 thiết bị tiêu dùng và hơn 200 tổ chức. Tác nhân đe dọa đứng sau các cuộc tấn công này, được biết đến với tên Forest Blizzard (còn được theo dõi với tên APT28 hoặc Strontium), có mối liên hệ với cơ quan tình báo quân sự Nga và đã hoạt động trong nhiều vụ xâm nhập nổi tiếng trong nhiều năm qua.

Phương thức tấn công tuy đơn giản nhưng lại cực kỳ hiệu quả. Thay vì nhắm mục tiêu trực tiếp vào từng máy tính hay điện thoại, nhóm này sửa đổi cài đặt DNS trên các router gia đình và văn phòng nhỏ. Khi một router bị xâm phạm, mọi thiết bị kết nối với nó — laptop, điện thoại, TV thông minh, máy tính làm việc — đều trở thành mục tiêu tiềm năng.

Cách Tấn Công Chiếm Quyền DNS Thực Sự Hoạt Động

DNS, hay Hệ thống Tên Miền, đôi khi được ví như danh bạ điện thoại của internet. Khi bạn nhập địa chỉ trang web vào trình duyệt, thiết bị của bạn sẽ truy vấn một máy chủ DNS để tìm địa chỉ IP dạng số cần thiết để kết nối. Trong điều kiện bình thường, truy vấn đó sẽ được gửi đến một máy chủ DNS đáng tin cậy, thường là máy chủ do nhà cung cấp dịch vụ internet của bạn cung cấp.

Khi kẻ tấn công sửa đổi cấu hình DNS của router, chúng chuyển hướng các truy vấn đó đến các máy chủ do chúng kiểm soát. Từ đó, chúng có thể thấy chính xác các trang web bạn đang cố truy cập và trong một số trường hợp, có thể chặn chính lưu lượng truy cập thực sự. Các nhà nghiên cứu phát hiện rằng phương pháp này cho phép Forest Blizzard thu thập dữ liệu dạng văn bản thuần túy bao gồm email và thông tin đăng nhập từ các thiết bị kết nối với các router bị xâm phạm.

Điều này đặc biệt đáng lo ngại vì nhiều người dùng cho rằng thông tin liên lạc của họ được bảo vệ chỉ vì họ sử dụng các trang web HTTPS hoặc dịch vụ email được mã hóa. Nhưng khi DNS bị chiếm quyền ở cấp độ router, kẻ tấn công có thể thấy được các luồng lưu lượng truy cập và trong một số điều kiện nhất định, có thể gỡ bỏ lớp bảo vệ đó.

Forest Blizzard Là Ai?

Forest Blizzard, còn được biết đến với các bí danh APT28 và Strontium, được cho là thuộc cơ quan tình báo quân sự GRU của Nga. Nhóm này có liên quan đến các cuộc tấn công nhằm vào các cơ quan chính phủ, nhà thầu quốc phòng, tổ chức chính trị và cơ sở hạ tầng quan trọng trên khắp châu Âu và Bắc Mỹ.

Chiến dịch này đánh dấu sự thay đổi chiến thuật hướng tới cơ sở hạ tầng cấp tiêu dùng. Router gia đình và văn phòng nhỏ thường bị bỏ qua từ góc độ bảo mật. Chúng hiếm khi nhận được các bản cập nhật firmware, thường chạy với thông tin đăng nhập mặc định và thường không được các đội bảo mật IT giám sát. Điều đó khiến chúng trở thành điểm xâm nhập hấp dẫn đối với một nhóm muốn chặn thu thập thông tin liên lạc ở quy mô lớn.

Việc xâm phạm router cũng cho phép kẻ tấn công duy trì quyền truy cập liên tục. Ngay cả khi phần mềm độc hại bị xóa khỏi một thiết bị riêng lẻ, router đã bị xâm phạm vẫn tiếp tục chuyển hướng lưu lượng truy cập cho đến khi chính router đó được làm sạch và cấu hình lại.

Điều Này Có Ý Nghĩa Gì Với Bạn

Nếu bạn sử dụng router gia đình hoặc văn phòng nhỏ tiêu chuẩn, chiến dịch này có liên quan trực tiếp đến bạn, ngay cả khi bạn không phải là nhân viên chính phủ hay mục tiêu gián điệp tiềm năng. Quy mô của cuộc tấn công — hơn 5.000 thiết bị tiêu dùng — cho thấy việc nhắm mục tiêu là diện rộng chứ không phải có chọn lọc.

Có một số bước thực tế đáng thực hiện để đối phó với tin tức này.

Kiểm tra cài đặt DNS của router. Đăng nhập vào bảng quản trị của router (thường tại 192.168.1.1 hoặc 192.168.0.1) và xác minh rằng các máy chủ DNS được liệt kê là những máy chủ bạn nhận ra và tin tưởng. Nếu bạn thấy các địa chỉ IP không quen thuộc mà bạn không tự thiết lập, đó là dấu hiệu cảnh báo đỏ.

Cập nhật firmware của router. Các nhà sản xuất router định kỳ phát hành các bản cập nhật firmware để vá các lỗ hổng bảo mật. Nhiều router có tùy chọn kiểm tra cập nhật trực tiếp trong bảng quản trị. Nếu router của bạn đã nhiều năm tuổi và nhà sản xuất không còn hỗ trợ nữa, hãy cân nhắc thay thế.

Thay đổi mật khẩu quản trị mặc định của router. Thông tin đăng nhập mặc định được công bố rộng rãi và là một trong những thứ đầu tiên kẻ tấn công thử. Một mật khẩu mạnh, duy nhất cho giao diện quản trị của router sẽ nâng cao đáng kể rào cản xâm nhập.

Sử dụng VPN có tính năng bảo vệ rò rỉ DNS. VPN định tuyến lưu lượng truy cập của bạn, bao gồm các truy vấn DNS, qua một đường hầm được mã hóa đến các máy chủ bên ngoài mạng cục bộ của bạn. Ngay cả khi DNS của router bị giả mạo, VPN có tính năng bảo vệ rò rỉ DNS đúng cách sẽ đảm bảo các truy vấn của bạn được giải quyết bởi máy chủ của nhà cung cấp VPN thay vì máy chủ của kẻ tấn công. Điều này không làm cho router bị xâm phạm trở nên an toàn, nhưng nó hạn chế đáng kể những gì kẻ tấn công có thể quan sát hoặc chặn được.

Cân nhắc sử dụng DNS được mã hóa độc lập. Các dịch vụ hỗ trợ DNS qua HTTPS (DoH) hoặc DNS qua TLS (DoT) mã hóa các truy vấn DNS của bạn ngay cả khi không có VPN, khiến chúng khó bị chặn hoặc chuyển hướng hơn.

Chiến dịch của Forest Blizzard là lời nhắc nhở rằng bảo mật mạng bắt đầu từ router. Các thiết bị kết nối nhà hoặc văn phòng của bạn với internet xứng đáng được quan tâm như các máy tính và điện thoại trên bàn làm việc của bạn. Việc giữ chúng được cập nhật, cấu hình đúng cách và được giám sát không phải là tùy chọn — đó là nền tảng mà mọi thứ khác đều dựa vào. Nếu bạn chưa xem xét lại cài đặt router gần đây, bây giờ là thời điểm tốt để bắt đầu.