Làn sóng APT mới nhắm vào router doanh nghiệp, Việt Nam có nguy cơ bị ảnh hưởng

[WhiteHat Team]

Hạ tầng mạng của nhiều doanh nghiệp tại Đông Nam Á đang bị đặt vào tầm ngắm của tin tặc khi các router biên liên tiếp trở thành mục tiêu trong hoạt động gián điệp mạng có độ tinh vi cao. Bằng cách kiểm soát lớp gateway, kẻ tấn công có thể âm thầm theo dõi, chuyển hướng và thao túng lưu lượng dữ liệu mà không cần trực tiếp xâm nhập từng máy tính bên trong hệ thống.
​

​

Theo các chuyên gia, nhóm tấn công đã triển khai implant Linux tùy chỉnh router.elf nhằm chiếm quyền kiểm soát các router biên tại nhiều hệ thống doanh nghiệp. Khác với các chiến dịch thường nhắm vào endpoint hoặc máy chủ, hoạt động lần này tập trung trực tiếp vào lớp hạ tầng mạng, nơi kiểm soát toàn bộ lưu lượng dữ liệu ra vào hệ thống.

Sau khi xâm nhập thành công, implant router.elf sẽ thiết lập kết nối HTTPS mã hóa qua cổng 443 tới hạ tầng máy chủ điều khiển từ xa (C2). Để che giấu hoạt động liên lạc, mã độc sử dụng kỹ thuật DNS over HTTPS (DoH) thông qua dịch vụ Cloudflare, giúp các truy vấn DNS độc hại hòa lẫn vào lưu lượng web HTTPS thông thường. Điều này khiến quá trình giám sát và phát hiện trở nên khó khăn hơn đáng kể nếu hệ thống chỉ theo dõi lưu lượng DNS truyền thống.

Điểm nguy hiểm nhất của chiến dịch nằm ở khả năng kiểm soát lưu lượng mạng ngay tại lớp router. Mã độc tự động chỉnh sửa các quy tắc iptables nhằm chuyển hướng toàn bộ truy vấn DNS từ các thiết bị phía sau router tới hạ tầng DNS do tin tặc vận hành. Khi đó, kẻ tấn công có thể âm thầm điều hướng người dùng sang website giả mạo, can thiệp vào quá trình cập nhật phần mềm hoặc theo dõi lưu lượng truy cập theo từng mục tiêu cụ thể thông qua danh sách cấu hình mang tên evil_fix.

Nhằm duy trì hiện diện lâu dài trong hệ thống, nhóm tấn công còn triển khai thêm backdoor phụ client_rc_start. Payload này hoạt động như một cơ chế dự phòng, cho phép khôi phục quyền truy cập vào thiết bị ngay cả khi implant chính bị phát hiện hoặc bị gỡ bỏ. Theo các nhà phân tích, việc chuẩn bị sẵn nhiều lớp duy trì truy cập cho thấy chiến dịch đã được tổ chức bài bản với mục tiêu bám trụ dài hạn bên trong hạ tầng nạn nhân.

Hoạt động xâm nhập không chỉ dừng ở lớp thiết bị mạng mà còn lan sang các máy Windows bên trong cùng hệ thống. Sau khi kiểm soát được gateway, nhóm tấn công tiếp tục triển khai Cobalt Strike Beacon, bộ công cụ hậu khai thác thường xuất hiện trong các chiến dịch APT, thông qua kỹ thuật DLL sideloading. Tin tặc cấy file độc hại version.dll cạnh tiến trình hợp pháp CrashReport.exe. Khi chương trình này được khởi hạy, Windows sẽ tự động nạp thư viện DLL độc hại mà không tạo ra dấu hiệu bất thường rõ rệt, giúp payload hoạt động dưới danh nghĩa một tiến trình hợp pháp và né tránh nhiều cơ chế giám sát endpoint truyền thống.

Dữ liệu phân tích cho thấy implant trên router và payload Windows thực chất được vận hành từ cùng một hạ tầng điều khiển phía sau. Cả hai đều sử dụng chung mẫu URI /api/v1/get và /api/v1/post, cùng cookie nhận diện và thậm chí được cấu hình chu kỳ beacon giống hệt nhau ở mức 50 giây. Mức độ đồng bộ này cho thấy đây không phải các đợt tấn công riêng lẻ mà là một chiến dịch gián điệp mạng được tổ chức và điều phối thống nhất.

Dù chưa có kết luận chính thức về danh tính nhóm đứng sau, nhiều dấu vết kỹ thuật cho thấy chiến dịch này có khả năng cao liên quan các nhóm tin tặc nói tiếng Trung. Quá trình phân tích implant phát hiện nhiều chuỗi ký tự tiếng Trung trong mã nguồn, cấu hình ngôn ngữ zh-CN được thiết lập sẵn trong profile giao tiếp mạng cùng dấu vết của một công cụ hack crack từng xuất hiện trong các hoạt động APT trước đây.​

Một số dấu hiệu nhận diện xâm nhập đáng chú ý​

Trong quá trình phân tích chiến dịch, các nhà nghiên cứu đã ghi nhận nhiều chỉ số xâm phạm (IoCs) liên quan trực tiếp tới hạ tầng điều khiển và các payload được sử dụng trong chuỗi tấn công:

• Các file độc hại xuất hiện trên hệ thống
  • router.elf: Implant Linux chính dùng để chiếm quyền router biên
  • client_rc_start: Backdoor phụ dùng để duy trì truy cập dự phòng
  • version.dll: Payload DLL sideloading triển khai Cobalt Strike Beacon trên Windows
• Hạ tầng điều khiển (C2) đáng chú ý
  • contextlayerrun.com
  • specialclouds.com
  • specialclouds.top
  • namefilecode.com
  • discovercoded.com
• Địa chỉ IP bị nghi phục vụ chiến dịch
  • 8.211.130.16: Máy chủ điều khiển C2 qua cổng 443
  • 8.213.217.130
  • 47.81.37.109: Hạ tầng DNS giả mạo phục vụ chuyển hướng truy vấn
  • 23.254.129.112: Nút chuyển hướng lưu lượng mạng
• Dấu hiệu hoạt động mạng bất thường
  • URI điều khiển: /api/v1/get và /api/v1/post
  • Cookie nhận diện: UK= và ZF=
  • Chu kỳ beacon cố định khoảng 50 giây
  • Sự xuất hiện của nhóm ipset mang tên evil_fix trên router bị xâm nhập

Các chuyên gia an ninh mạng cho rằng router biên đang dần trở thành mục tiêu ưu tiên của nhiều nhóm APT do đây là nơi toàn bộ lưu lượng mạng của doanh nghiệp bắt buộc phải đi qua. Một khi kiểm soát được lớp thiết bị này, tin tặc không chỉ theo dõi hoạt động truy cập Internet mà còn có thể can thiệp vào quá trình phân giải DNS, chuyển hướng lưu lượng hoặc âm thầm giám sát kết nối nội bộ mà không cần trực tiếp xâm nhập từng máy tính riêng lẻ.

Việc nhiều doanh nghiệp tại Việt Nam vẫn vận hành các thiết bị Linux-based ở lớp gateway và edge network đang tạo ra thêm rủi ro trước làn sóng tấn công nhắm vào hạ tầng mạng. Khi router biên trở thành mục tiêu ưu tiên của các nhóm APT, các tổ chức cần khẩn trương rà soát toàn bộ cấu hình firewall và DNS, đặc biệt là các quy tắc chuyển hướng lưu lượng tới những địa chỉ IP lạ hoặc ngoài hệ thống quản trị hợp lệ.

Về lâu dài, doanh nghiệp cần xem lớp gateway và router biên như một phần trọng yếu của chiến lược phòng thủ thay vì chỉ tập trung bảo vệ endpoint. Việc giám sát tính toàn vẹn firmware, áp dụng xác thực đa yếu tố cho hệ thống quản trị thiết bị mạng và theo dõi mọi thay đổi liên quan tới firewall hoặc DNS có thể giúp phát hiện sớm các dấu hiệu xâm nhập trước khi tin tặc kịp mở rộng quyền kiểm soát trong hạ tầng nội bộ.​