Kết quả điều tra được nhóm nghiên cứu an ninh mạng Black Lotus Lab (Mỹ) công bố cuối tháng 5 cho thấy cuộc tấn công diễn ra từ ngày 25 đến 27/10/2023. Thông tin về sự việc không được công bố, dù hậu quả là hơn nửa triệu router Internet tại nhiều bang bị hỏng hoàn toàn.
Cuộc điều tra cũng không nêu tên doanh nghiệp bị tấn công, nhưng Reuters cho biết mục tiêu là Windstream, nhà cung cấp dịch vụ Internet (ISP) có trụ sở tại bang Arkansas và đang phục vụ nhiều khu vực hẻo lánh tại Trung Tây.
Người dùng nhập mật khẩu để kết nối mạng qua router ActionTec T3200. Ảnh: Kinetic by Windstream
Dữ liệu của Black Lotus Labs dựa trên những bài viết than phiền liên tiếp trên mạng xã hội, cũng như ghi nhận về tình hình gián đoạn của một số loại router cụ thể, đặc biệt là mẫu ActionTec T3200 và T3260. Nhiều người dùng nói tình trạng mất kết nối chỉ được giải quyết sau khi ISP thay thế thiết bị.
Cuộc tấn công diễn ra khi firmware chứa mã độc mang tên Chalubo lây nhiễm và xóa đi nhiều phần trong mã nguồn điều khiển router. Chưa rõ firmware này được cài cắm như thế nào và ai là thủ phạm, nhưng các nhà nghiên cứu cho biết cuộc tấn công là "hành động cố ý nhằm gây sập mạng Internet".
Thông qua sự việc, Black Lotus Labs khuyến cáo các ISP bảo đảm an toàn cho thiết bị quản lý mạng Internet và tránh mắc những lỗi an ninh cơ bản như sử dụng mật khẩu mặc định. Khách hàng cũng được kêu gọi liên tục cập nhật phần mềm để bảo đảm an ninh cho thiết bị.
(Theo The Verge)
