Cuộc tấn công Brute Force lớn, sử dụng 2,8 triệu IP để nhắm mục tiêu vào các thiết bị VPN

Một cuộc tấn công Brute Force mật khẩu quy mô lớn sử dụng gần 2,8 triệu địa chỉ IP đã diễn ra, nhằm dò đoán thông tin đăng nhập của nhiều thiết bị mạng, bao gồm cả các thiết bị từ Palo Alto Networks, Ivanti và SonicWall.

Tấn công Brute Force là khi kẻ tấn công cố gắng đăng nhập nhiều lần vào một tài khoản hoặc thiết bị bằng nhiều tên người dùng và mật khẩu cho đến khi tìm thấy đúng tổ hợp. Khi đã có quyền truy cập vào thông tin đăng nhập chính xác, kẻ tấn công có thể sử dụng chúng để chiếm đoạt thiết bị hoặc truy cập vào mạng.

Theo nền tảng giám sát mối đe dọa The Shadowserver Foundation, một cuộc tấn công bằng cách dùng Brure Force đã diễn ra kể từ tháng 01/2025, sử dụng gần 2,8 triệu địa chỉ IP nguồn mỗi ngày để thực hiện các cuộc tấn công này. Hầu hết trong số này (1,1 triệu người) đến từ Brazil, tiếp theo là Thổ Nhĩ Kỳ, Nga, Argentina, Morocco và Mexico, nhưng nhìn chung có rất nhiều quốc gia tham gia hoạt động này.

Đây là các thiết bị bảo mật biên như tường lửa, VPN, gateway và các thiết bị bảo mật khác, thường được kết nối với Internet để tạo điều kiện truy cập từ xa. Các thiết bị thực hiện các cuộc tấn công này chủ yếu là bộ định tuyến MikroTik , Huawei, Cisco, Boa và ZTE và IoT, thường bị xâm nhập bởi các mạng botnet phần mềm độc hại lớn.

Trong tuyên bố mới đây, hãng bảo mật Shadowserver Foundation (Hà Lan) xác nhận rằng, hoạt động này đã diễn ra trong một thời gian nhưng gần đây đã mở rộng ra quy mô lớn hơn nhiều. ShadowServer cũng cho biết các địa chỉ IP tấn công được phân bổ trên nhiều hệ thống mạng và có khả năng là một mạng botnet hoặc một số hoạt động liên quan đến mạng proxy dân cư.

Proxy dân cư (hay Residential Proxy) là địa chỉ IP được gán bởi nhà cung cấp dịch vụ Internet (ISP) thuộc khu dân cư thay vì trung tâm dữ liệu, điều này khiến chúng trở nên được ưa chuộng trong các hoạt động của tội phạm mạng.

Các thiết bị gateway như thiết bị nhắm tới trong hoạt động này có thể được sử dụng làm nút thoát proxy trong các hoạt động proxy dân dụng, định tuyến lưu lượng độc hại qua mạng doanh nghiệp của tổ chức.

Các bước bảo vệ thiết bị biên khỏi các cuộc tấn công Brute Force bao gồm thay đổi mật khẩu quản trị mặc định thành mật khẩu mạnh và duy nhất, thực thi xác thực đa yếu tố (MFA), sử dụng danh sách cho phép các IP đáng tin cậy và vô hiệu hóa giao diện quản trị web nếu không cần thiết.

Cuối cùng, việc áp dụng firmware và bản cập nhật bảo mật mới nhất trên các thiết bị này là rất quan trọng để loại bỏ các lỗ hổng mà kẻ tấn công có thể lợi dụng để giành quyền truy cập ban đầu.

Tháng 4/2024, Cisco đã cảnh báo về một chiến dịch tấn công dò thông tin xác thực quy mô lớn nhắm vào các thiết bị Cisco, CheckPoint, Fortinet, SonicWall và Ubiquiti. Sau đó vào tháng 12/2024, Citrix cũng đã cảnh báo về các cuộc tấn công Spray Password nhắm vào các thiết bị Citrix Netscaler trên toàn cầu.