Thông tin này vừa được các nhà nghiên cứu tại Talos, đơn vị tình báo của Cisco chia sẻ. Cuộc tấn công mạng này đã được thực hiện từ năm 2016 và ảnh hưởng đến các thiết bị ở ít nhất 54 quốc gia, tuy nhiên, mọi thứ chỉ lây lan nhanh chóng trong ba tuần vừa qua. Các nhà nghiên cứu cho biết, phần mềm độc hại VPNFilter có thể được sử dụng cho nhiều mục đích khác nhau.
Cục điều tra liên bang Mỹ (FBI) đã lấy lại một trong những tên miền được sử dụng trong cuộc tấn công. Trong báo cáo của mình, Talos không đề cập đến các quốc gia đứng đằng sau vụ tấn công, chỉ nói rằng VPNFilter sử dụng lại một phần mềm độc hại được dùng trong các cuộc tấn công của Chính phủ Nga, đơn cử như vào hồi tháng 12/2016 và làm mất điện tại Ukraine. Đa số các router bị nhiễm mã độc được sản xuất bởi Linksys, MikroTik, Netgear, TP-Link...
Khi xâm nhập router thành công, VPNFilter sẽ cố gắng tải xuống một hình ảnh được lưu trữ trên Photobucket hoặc Toknowall.com (một tên miền được Chính phủ Nga sử dụng), siêu dữ liệu trên tập tin sẽ cho biết địa chỉ IP cần thiết để theo dõi trong giai đoạn tiếp theo. Nếu không thành công, VPNFilter sẽ chờ lệnh từ tội phạm mạng. Trong trường hợp này, phần mềm độc hại sẽ lưu IP Public của thiết bị để có thể tiếp tục hành động.
Ở giai đoạn tiếp theo, VPNFilter có khả năng thu thập dữ liệu, thực hiện câu lệnh, quản lý các thiết bị, theo dõi lưu lượng web, lấy cắp thông tin đăng nhập, mật khẩu... Ngoài ra, tội phạm mạng còn có thể ghi đè phần mềm lên router và ngắt kết nối Internet hoàn toàn.
Theo Symantec, dưới đây là danh sách các mẫu router đang bị lây nhiễm VPNFilter:
Linksys E1200
Linksys E2500
Linksys WRVS4400N
Netgear DGN2200
Netgear R6400
Netgear R7000
Netgear R8000
Netgear WNR1000
Netgear WNR2000
QNAP TS251
QNAP TS439 Pro
QNAP NAS với QTS
TP-Link R600VPN…
Làm thế nào để phòng tránh VPNFilter?
Các công ty bảo mật khuyến cáo người dùng nên khôi phục cài đặt gốc trên router bằng cách nhấn và giữ im nút nguồn trong vài giây, hoặc sử dụng cây tăm và nhấn và lỗ reset vài giây cho đến khi các đèn tín hiệu tắt hẳn. Sau đó, liên lạc với nhà mạng và nhờ kĩ thuật viên hỗ trợ cấu hình lại mọi thứ.
Đơn giản hơn, người dùng nên thay đổi mật khẩu mặc định trên router (không phải mật khẩu WiFi), cập nhật firmware mới nhất cho router (nếu có) và vô hiệu hóa tính năng truy cập từ xa.