Cục điều tra liên bang Mỹ (FBI) cảnh báo rằng, các tác nhân đe dọa đang triển khai phần mềm độc hại trên các bộ định tuyến hết hạn sử dụng (EoL) để chuyển đổi chúng thành các cánh cửa kết nối người dùng và mạng Internet (proxy) được bán trên các mạng 5Socks và Anyproxy.

Các thiết bị này, đã được phát hành nhiều năm trước và không còn nhận được bản cập nhật bảo mật từ nhà cung cấp, dễ bị tấn công từ bên ngoài bằng cách khai thác các lỗ hổng có sẵn công khai để đưa phần mềm độc hại vào.

Sau khi bị xâm phạm, chúng được thêm vào các mạng bot proxy dân dụng định tuyến lưu lượng truy cập độc hại. Trong nhiều trường hợp, các proxy này được tội phạm mạng sử dụng để thực hiện các hoạt động độc hại hoặc tấn công mạng.

"Với mạng 5Socks và Anyproxy, tội phạm đang bán quyền truy cập vào các bộ định tuyến bị xâm phạm dưới dạng proxy để khách hàng mua và sử dụng", khuyến cáo của FBI Flash giải thích.

"Các tác nhân đe dọa có thể sử dụng các proxy để che giấu danh tính hoặc vị trí của chúng".

Danh sách các mẫu Linksys và Cisco EoL sau đây là mục tiêu chung:

Linksys E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550

Linksys WRT320N, WRT310N, WRT610N

Cradlepoint E100

Cisco M10

FBI cảnh báo rằng, các tác nhân đến từ Trung Quốc đã khai thác các lỗ hổng đã biết (n-day) trong các bộ định tuyến này để tiến hành các chiến dịch gián điệp bí mật, bao gồm các hoạt động nhắm vào cơ sở hạ tầng quan trọng của Hoa Kỳ.

Trong một bản tin liên quan, cơ quan này xác nhận rằng, nhiều bộ định tuyến này bị nhiễm một biến thể của phần mềm độc hại "TheMoon", cho phép các tác nhân đe dọa định cấu hình chúng làm proxy.

Bản tin của FBI nêu rõ "Các bộ định tuyến hết hạn sử dụng đã bị các tác nhân mạng xâm nhập bằng cách sử dụng các biến thể của mạng botnet phần mềm độc hại TheMoon".

"Gần đây, một số bộ định tuyến đã hết hạn sử dụng, với chức năng quản trị từ xa được bật, đã được xác định là bị xâm phạm bởi một biến thể mới của phần mềm độc hại TheMoon. Phần mềm độc hại này cho phép các tác nhân mạng cài đặt proxy trên các bộ định tuyến nạn nhân, giúp tội phạm mạng ẩn danh".

Sau khi bị xâm phạm, các bộ định tuyến sẽ kết nối với máy chủ chỉ huy và kiểm soát (C2) để nhận lệnh thực thi, chẳng hạn như quét và xâm phạm các thiết bị dễ bị tấn công trên Internet.

FBI cho biết sau đó các proxy được sử dụng để trốn tránh phát hiện trong quá trình trộm tiền điện tử, các hoạt động thuê tội phạm mạng và các hoạt động bất hợp pháp khác.

Các dấu hiệu phổ biến của việc bị xâm phạm bởi mạng botnet bao gồm kết nối mạng gián đoạn, hiện tượng quá nhiệt, suy giảm hiệu suất, thay đổi cấu hình, xuất hiện người dùng quản trị gian lận và lưu lượng mạng bất thường. Cách tốt nhất để giảm thiểu rủi ro bị nhiễm mạng botnet là thay thế các bộ định tuyến đã hết hạn sử dụng bằng các mẫu mới hơn, được hỗ trợ tích cực.

Nếu không thể thực hiện được, hãy áp dụng bản cập nhật chương trình cơ sở mới nhất cho mẫu của bạn, có nguồn từ cổng tải xuống chính thức của nhà cung cấp, thay đổi thông tin đăng nhập tài khoản quản trị mặc định và tắt bảng điều khiển quản trị từ xa.