Một cuộc tấn công mạng đang diễn ra nhắm vào nhiều loại thiết bị mạng, các đồng nghiệp của chúng tôi tại Bleeping Computer báo cáo. Kể từ tháng trước, các thiết bị bảo mật ngoại vi, chẳng hạn như tường lửa và mạng riêng ảo (VPN), đã phải hứng chịu một làn sóng tấn công bằng cách dùng vũ lực.
Loại tấn công mạng này bao gồm việc thử nhiều tổ hợp thông tin xác thực cho đến khi tìm ra thông tin chính xác. Để kiểm tra các kết hợp, tội phạm mạng sử dụng các chương trình tự động. Theo dữ liệu được thu thập bởi một tổ chức phi lợi nhuận chuyên chống tội phạm mạng, The Shadowserver Foundation.
Hiệp hội đã quan sát thấy "sự gia tăng mạnh mẽ các cuộc tấn công đăng nhập web bằng phương pháp brute-force vào các thiết bị ngoại vi" trong những tuần gần đây. Cuộc tấn công mới được phát động gần đây đã chứng kiến sự hồi sinh của hoạt động. Trong số các mục tiêu ưa thích của tin tặc là các thiết bị mạng từ Palo Alto Networks, Ivanti và SonicWall.
Quy mô của cuộc tấn công đặc biệt đáng lo ngại. Theo Shadowserver Foundation, các nỗ lực kết nối thực sự đến từ gần 2,8 triệu địa chỉ IP trên toàn thế giới. Hầu hết các địa chỉ đều bắt nguồn từ Brazil, Thổ Nhĩ Kỳ, Nga, Argentina, Morocco và Mexico.
Để thực hiện cuộc tấn công, tin tặc chủ yếu sử dụng các thiết bị bị botnet xâm nhập, chẳng hạn như bộ định tuyến từ MikroTik, Huawei, Cisco, Boa và ZTE. Những thứ này nằm dưới sự kiểm soát của một mạng lưới độc hại sau khi phần mềm độc hại được triển khai. Để đạt được mục tiêu, virus thường khai thác các lỗ hổng bảo mật. Đây là lý do tại sao tin tặc thường nhắm vào các bộ định tuyến lỗi thời hoặc hết hạn sử dụng, thiếu bản cập nhật bảo mật. Dưới sự kiểm soát của tin tặc, bộ định tuyến có thể được sử dụng để tấn công các thiết bị bằng các nỗ lực đăng nhập. Botnet là một trong những vũ khí chủ chốt trong kho vũ khí của tội phạm mạng.
Để tránh bị chặn, tin tặc dựa vào mạng proxy nội bộ. Đây là địa chỉ IP được liên kết với người dùng thực đã đăng ký với nhà cung cấp dịch vụ Internet. Mẹo này cho phép bạn bỏ qua các cơ chế bảo mật được cho là đảm bảo rằng các yêu cầu kết nối không đến từ robot hoặc mạng lưới các thiết bị bị xâm phạm. Không giống như các proxy dựa trên máy chủ truyền thống, các địa chỉ IP này khó phát hiện và chặn hơn.
Ông nói thêm rằng "khả năng xác định chính xác liệu yêu cầu có đến từ proxy dân dụng hay không hiện là điều cần thiết để ngăn chặn các cuộc tấn công quy mô lớn, chẳng hạn như nhồi thông tin xác thực và các chiến dịch tấn công bằng vũ lực, trước khi chúng thành công."
Đây không phải là làn sóng tấn công lớn đầu tiên vào các thiết bị mạng được ghi nhận trong những năm gần đây. Tháng 4 năm ngoái, Cisco đã cảnh báo về sự gia tăng các cuộc tấn công bằng phương pháp brute force vào các thiết bị Cisco, CheckPoint, Fortinet, SonicWall và Ubiquiti trên toàn thế giới.
Để bảo vệ các thiết bị ngoại vi khỏi các cuộc tấn công bằng phương pháp brute force, điều quan trọng là phải chọn mật khẩu phức tạp và khó đoán. Biện pháp phòng ngừa này sẽ cản trở các chương trình mà tội phạm sử dụng.
Như Darren James, một chuyên gia an ninh mạng tại Specops Software, giải thích với Forbes, "nhiều người vẫn không thay đổi mật khẩu mặc định của họ hoặc thay vào đó sử dụng thông tin đăng nhập chung, dễ bẻ khóa." Nhà nghiên cứu cũng chỉ ra việc tái chế mật khẩu, một hoạt động vẫn rất phổ biến và giúp cuộc sống của tội phạm mạng dễ dàng hơn.
Ngay cả khi "tội phạm mạng liên tục thay đổi chiến thuật của mình," "quản lý mật khẩu tốt có thể tạo nên sự khác biệt giữa việc được bảo vệ và thông tin của bạn bị xâm phạm trong một vụ vi phạm dữ liệu,"Daniel Pearson, Giám đốc điều hành của Máy chủ đã biết.
Ngoài ra, tất cả người dùng được khuyến nghị bật xác thực hai yếu tố và hạn chế đăng nhập bằng cách chỉ cho phép một số địa chỉ IP đáng tin cậy nhất định. Cuối cùng, điều quan trọng là phải cài đặt tất cả các bản cập nhật có sẵn. Nếu thiết bị của bạn đã lỗi thời, đã đến lúc cân nhắc thay thế nó.
Nguồn: Bleeping Computer
Loại tấn công mạng này bao gồm việc thử nhiều tổ hợp thông tin xác thực cho đến khi tìm ra thông tin chính xác. Để kiểm tra các kết hợp, tội phạm mạng sử dụng các chương trình tự động. Theo dữ liệu được thu thập bởi một tổ chức phi lợi nhuận chuyên chống tội phạm mạng, The Shadowserver Foundation.
Hiệp hội đã quan sát thấy "sự gia tăng mạnh mẽ các cuộc tấn công đăng nhập web bằng phương pháp brute-force vào các thiết bị ngoại vi" trong những tuần gần đây. Cuộc tấn công mới được phát động gần đây đã chứng kiến sự hồi sinh của hoạt động. Trong số các mục tiêu ưa thích của tin tặc là các thiết bị mạng từ Palo Alto Networks, Ivanti và SonicWall.
2,8 triệu địa chỉ IP liên quan
Quy mô của cuộc tấn công đặc biệt đáng lo ngại. Theo Shadowserver Foundation, các nỗ lực kết nối thực sự đến từ gần 2,8 triệu địa chỉ IP trên toàn thế giới. Hầu hết các địa chỉ đều bắt nguồn từ Brazil, Thổ Nhĩ Kỳ, Nga, Argentina, Morocco và Mexico.
Để thực hiện cuộc tấn công, tin tặc chủ yếu sử dụng các thiết bị bị botnet xâm nhập, chẳng hạn như bộ định tuyến từ MikroTik, Huawei, Cisco, Boa và ZTE. Những thứ này nằm dưới sự kiểm soát của một mạng lưới độc hại sau khi phần mềm độc hại được triển khai. Để đạt được mục tiêu, virus thường khai thác các lỗ hổng bảo mật. Đây là lý do tại sao tin tặc thường nhắm vào các bộ định tuyến lỗi thời hoặc hết hạn sử dụng, thiếu bản cập nhật bảo mật. Dưới sự kiểm soát của tin tặc, bộ định tuyến có thể được sử dụng để tấn công các thiết bị bằng các nỗ lực đăng nhập. Botnet là một trong những vũ khí chủ chốt trong kho vũ khí của tội phạm mạng.
Tin tặc tránh bị chặn bằng cách nào?
Để tránh bị chặn, tin tặc dựa vào mạng proxy nội bộ. Đây là địa chỉ IP được liên kết với người dùng thực đã đăng ký với nhà cung cấp dịch vụ Internet. Mẹo này cho phép bạn bỏ qua các cơ chế bảo mật được cho là đảm bảo rằng các yêu cầu kết nối không đến từ robot hoặc mạng lưới các thiết bị bị xâm phạm. Không giống như các proxy dựa trên máy chủ truyền thống, các địa chỉ IP này khó phát hiện và chặn hơn.
Ông nói thêm rằng "khả năng xác định chính xác liệu yêu cầu có đến từ proxy dân dụng hay không hiện là điều cần thiết để ngăn chặn các cuộc tấn công quy mô lớn, chẳng hạn như nhồi thông tin xác thực và các chiến dịch tấn công bằng vũ lực, trước khi chúng thành công."
Đây không phải là làn sóng tấn công lớn đầu tiên vào các thiết bị mạng được ghi nhận trong những năm gần đây. Tháng 4 năm ngoái, Cisco đã cảnh báo về sự gia tăng các cuộc tấn công bằng phương pháp brute force vào các thiết bị Cisco, CheckPoint, Fortinet, SonicWall và Ubiquiti trên toàn thế giới.
Làm thế nào để bảo vệ bản thân khỏi các cuộc tấn công mạng đang diễn ra?
Để bảo vệ các thiết bị ngoại vi khỏi các cuộc tấn công bằng phương pháp brute force, điều quan trọng là phải chọn mật khẩu phức tạp và khó đoán. Biện pháp phòng ngừa này sẽ cản trở các chương trình mà tội phạm sử dụng.
Như Darren James, một chuyên gia an ninh mạng tại Specops Software, giải thích với Forbes, "nhiều người vẫn không thay đổi mật khẩu mặc định của họ hoặc thay vào đó sử dụng thông tin đăng nhập chung, dễ bẻ khóa." Nhà nghiên cứu cũng chỉ ra việc tái chế mật khẩu, một hoạt động vẫn rất phổ biến và giúp cuộc sống của tội phạm mạng dễ dàng hơn.
Ngay cả khi "tội phạm mạng liên tục thay đổi chiến thuật của mình," "quản lý mật khẩu tốt có thể tạo nên sự khác biệt giữa việc được bảo vệ và thông tin của bạn bị xâm phạm trong một vụ vi phạm dữ liệu,"Daniel Pearson, Giám đốc điều hành của Máy chủ đã biết.
Ngoài ra, tất cả người dùng được khuyến nghị bật xác thực hai yếu tố và hạn chế đăng nhập bằng cách chỉ cho phép một số địa chỉ IP đáng tin cậy nhất định. Cuối cùng, điều quan trọng là phải cài đặt tất cả các bản cập nhật có sẵn. Nếu thiết bị của bạn đã lỗi thời, đã đến lúc cân nhắc thay thế nó.
Nguồn: Bleeping Computer