Hàng loạt modem WiFi bị tấn công

Mấy ngày qua, việc hacker tấn công nhiều modem WiFi gia đình rồi đổi mật khẩu, cấu hình và tên WiFi thành “china hacker” là hết sức nguy hiểm đối với người dùng internet. Khi nắm được mạng WiFi gia đình, hacker có thể lấy cắp tài khoản giao dịch tài chính, email, Facebook… hoặc tạo ra mạng botnet (mạng được điều khiển từ xa) để phá hoại trên diện rộng. Theo một chuyên gia bảo mật, các modem được nhập về Việt Nam đều có chức năng cho phép truy cập từ xa để cập nhật firmware (hệ điều hành modem).

Các modem WiFi bị ảnh hưởng là loại có 2 ăng-ten, vỏ màu cam và trắng.

Bàn đạp để tấn công DDoS

Ông Vũ Đức Huy, Giám đốc Trung tâm Hạ tầng phía Nam FPT Telecom, cho biết: “Các modem WiFi bị ảnh hưởng là loại có 2 ăng-ten, vỏ màu cam và trắng. Những modem bị tấn công sẽ thay đổi tên điểm phát sóng WiFi (SSID) dẫn tới người dùng không thể kết nối WiFi với SSID cũ, trong khi kết nối qua mạng có dây vẫn bình thường. Sự cố chủ yếu xảy ra ở phía Nam, ở Đà Nẵng chỉ có một trường hợp”.

Theo nhận định của ông Ngô Trần Vũ, Giám đốc điều hành NTS Security, nhiều khả năng bị tấn công là do phía nhà cung cấp mở cổng đăng nhập (log in) từ trung tâm cung cấp dịch vụ xuống thiết bị WiFi của khách hàng để dễ dàng hỗ trợ kỹ thuật. Theo đó, hacker tấn công vào cổng log in của nhà cung cấp rồi mở thiết bị của khách hàng và thay đổi cấu hình của WiFi từ xa. Ông Lê Đình Nhân, chuyên gia bảo mật Trung tâm Đào tạo an ninh mạng Athena TP HCM, cho biết: “Vụ tấn công này có thể liên quan đến virus Chameleon. Sau khi nhiễm vào máy tính cá nhân qua các đường mạng, USB… , virus này sẽ tấn công thiết bị WiFi được thiết lập tên (username) và mật khẩu đăng nhập (password) kém”. Các chuyên gia bảo mật cũng không loại trừ nguyên nhân do người dùng không đổi username, password sau khi được nhân viên lắp đặt thiết lập ở dạng mặc định. Tuy nhiên, hacker ít khai thác lỗi này để tấn công trên diện rộng.

“Các modem WiFi được phát triển từ một distro của hệ điều hành linux có mã nguồn mở. Khi thay đổi được thông số mạng WiFi, hacker có thể cài đặt “cửa hậu”, biến các thiết bị WiFi thành công cụ bị điều khiển từ xa để thực hiện tấn công từ chối dịch vụ phân tán - DDoS” - ông Lê Đình Nhân phân tích.

Buông lỏng kiểm tra mã nguồn

Theo ông Vũ Anh Tú, Giám đốc Công ty Công nghệ FPT Telecom, đây không phải lỗi liên quan đến phần cứng trên hệ thống của công ty. Ngay khi phát hiện, FPT Telecom đã cùng đối tác vá lỗ hổngfirmware và nâng cấp bản vá từ chiều 14-11. Các modem bị lỗi sẽ được nâng cấp và sửa đổi cấu hình từ xa để giảm thiểu ảnh hưởng cho người dùng. Lỗi này chỉ làm gián đoạn việc kết nối internet chứ không có khả năng lấy trộm thông tin hoặc gây ra các ảnh hưởng khác cho người sử dụng. Công ty đã xác định được phạm vi khách hàng bị ảnh hưởng và sẽ liên lạc để hỗ trợ sửa lỗi. FPT Telecom bố trí nhân viên kỹ thuật đến nhà khách hàng nhằm chỉnh modem và cử nhân viên trực tại trụ sở để xử lý modem bị lỗi. Nhân viên FPT Telecom cũng sẽ hướng dẫn cách đặt lại cấu hình modem qua điện thoại để khách hàng tự thao tác tại nhà.

“Để phòng chống nguy cơ bị tấn công, nhà cung cấp dịch vụ phải kiểm tra kỹ thiết bị của mình trước khi đưa ra thị trường, cụ thể là mã nguồn trong firmware. Tuy nhiên, hiện chưa có đơn vị nào trong nước làm tốt khâu này trong khi các nước như Mỹ , Nhật… kiểm tra chặt chẽ mã nguồn trong các thiết bị. Nhờ vậy, họ đã phát hiện nhiều thiết bị của Trung Quốc được cài mã độc. Việc chúng ta không kiểm tra mã nguồn là lỗ hổng rất lớn trong an ninh mạng và cần sớm khắc phục” - ông Lê Đình Nhân nói.