Theo TechSpot, một mối đe dọa an ninh mạng mới và cực kỳ nguy hiểm mang tên 'ViciousTrap' đang âm thầm lây nhiễm và chiếm quyền kiểm soát hơn 9.000 bộ định tuyến (router) Asus trên toàn cầu, biến chúng thành một phần của một mạng máy tính ma (botnet) tiềm ẩn. Thông tin này vừa được công ty an ninh mạng GreyNoise công bố, dấy lên lo ngại sâu sắc về sự an toàn của người dùng các thiết bị mạng Asus.

Theo các nhà phân tích tại GreyNoise, những kẻ tấn công đứng sau chiến dịch ViciousTrap đang khai thác một loạt lỗ hổng bảo mật trên router Asus - gồm cả những lỗ hổng đã được vá lẫn những lỗ hổng chưa từng được định danh trong cơ sở dữ liệu CVE (như CVE-2023-39780). Mục tiêu của chúng là cài cắm một loại cửa hậu (backdoor) tàng hình, cho phép truy cập từ xa trái phép và duy trì quyền kiểm soát thiết bị ngay cả khi đã khởi động lại hoặc cập nhật firmware. Đáng lo ngại hơn, cửa hậu này được lưu trữ trong bộ nhớ NVRAM của router và có khả năng vô hiệu hóa tính năng ghi nhật ký, khiến việc phát hiện trở nên vô cùng khó khăn.

Hệ thống AI độc quyền của GreyNoise, có tên Sift, lần đầu phát hiện ra các lưu lượng truy cập bất thường liên quan đến ViciousTrap vào tháng 3.2025. Sau quá trình điều tra và thông báo cho các cơ quan chức năng, GreyNoise đã quyết định công bố chi tiết về chiến dịch này chỉ vài ngày sau khi một công ty bảo mật khác cũng hé lộ thông tin tương tự.

Cách thức xâm nhập của ViciousTrap khá tinh vi: ban đầu, chúng vượt qua cơ chế xác thực bằng các cuộc tấn công brute-force, sau đó lợi dụng các lỗ hổng để thực thi lệnh, kích hoạt quyền truy cập SSH qua một cổng TCP/IP tùy chỉnh và chèn khóa mã hóa công khai của chúng vào thiết bị.

Mặc dù Asus đã phát hành các bản cập nhật firmware để vá những lỗ hổng bị khai thác, GreyNoise nhấn mạnh rằng các bản cập nhật này không tự động loại bỏ cửa hậu ViciousTrap đã tồn tại trên các thiết bị đã bị lây nhiễm. Quản trị viên hệ thống và người dùng cuối cần phải thực hiện các biện pháp thủ công để đảm bảo an toàn.

GreyNoise khuyến cáo người dùng router Asus thực hiện khẩn cấp các bước sau:

• Cập nhật firmware mới nhất: Đây là bước đầu tiên và quan trọng.
• Kiểm tra và vô hiệu hóa truy cập SSH trái phép: Xóa mọi khóa công khai đáng ngờ không do bạn cài đặt.
• Đặt lại cấu hình cổng TCP/IP tùy chỉnh: Khôi phục về cài đặt mặc định nếu có thay đổi bất thường.
• Theo dõi lưu lượng mạng: Chú ý các kết nối đến/đi từ các địa chỉ IP đáng ngờ do
• GreyNoise cung cấp (gồm 101.99.91.151, 101.99.94.173, 79.141.163.179, 111.90.146.237).
• Khôi phục cài đặt gốc: Nếu nghi ngờ thiết bị đã bị xâm phạm, hãy thực hiện khôi phục cài đặt gốc hoàn toàn và cấu hình lại router một cách thủ công.

Hiện tại, ý đồ cuối cùng của những kẻ đứng sau ViciousTrap vẫn còn là một ẩn số, nhưng việc xây dựng một mạng botnet lớn như vậy luôn tiềm ẩn nguy cơ cho các cuộc tấn công quy mô lớn trong tương lai.