Cisco cảnh báo về các cuộc tấn công Brute Force quy mô lớn nhằm vào các dịch vụ VPN và SSH
Tấn công Brute Force
Tấn công Brute Force là một phương pháp bẻ khóa phổ biến, liên quan đến việc kẻ tấn công cố gắng “thử và đoán” tên người dùng và mật khẩu để đăng nhập trái phép vào hệ thống. Sau khi có quyền truy cập vào thông tin xác thực, kẻ tấn công có thể sử dụng chúng để chiếm quyền điều khiển thiết bị hoặc giành quyền truy cập vào mạng nội bộ.
Theo báo cáo, tất cả các cuộc tấn công dường như đều bắt nguồn từ TOR exit node và các đường hầm (tunnel) cũng như các proxy ẩn danh khác. Được biết, các tác nhân đe dọa đã sử dụng khoảng 4.000 địa chỉ IP để thực hiện các cuộc tấn công.
Nhóm tình báo mối đe dọa Cisco Talos cho biết: “Tùy thuộc vào môi trường mục tiêu, các cuộc tấn công Brute Force thành công có thể cho phép các tin tặc truy cập hệ thống mạng trái phép, khóa tài khoản hoặc tấn công từ chối dịch vụ. Lưu lượng truy cập liên quan đến các cuộc tấn công này đã tăng lên theo thời gian và có khả năng tiếp tục tăng”.
Một số dịch vụ được sử dụng để thực hiện các cuộc tấn công bao gồm TOR, VPN Gate, IPIDEA Proxy, BigMama Proxy, Space Proxy, Nexus Proxy và Proxy Rack.
Các nhà nghiên cứu của Cisco Talos báo cáo rằng các dịch vụ sau đang được các tin tặc tích cực nhắm tới là: Cisco Secure Firewall VPN; Checkpoint VPN; Fortinet VPN; SonicWall VPN; RD Web Services; Miktrotik và Draytek.
Theo các nhà nghiên cứu, chiến dịch tấn công này không tập trung cụ thể vào các ngành hoặc khu vực cụ thể. Cisco Talos đã chia sẻ danh sách đầy đủ các dấu hiệu xâm phạm (IoC) cho hoạt động này trên GitHub, bao gồm địa chỉ IP của kẻ tấn công để đưa vào danh sách chặn cũng như danh sách tên người dùng và mật khẩu được sử dụng trong các cuộc tấn công Brute Force.
Diễn biến liên quan
Vào cuối tháng 3/2024, Cisco đã cảnh báo một chiến dịch tấn công password-spraying nhắm vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa Cisco Secure Firewall.
Xác suất của các cuộc tấn công này sẽ rất hiệu quả đối với các tổ chức thiết lập chính sách mật khẩu yếu, nhắm mục tiêu vào nhiều tên người dùng bằng một tập hợp nhỏ mật khẩu thường được sử dụng.
Nhà nghiên cứu bảo mật Aaron Martin cho rằng các cuộc tấn công password-spraying là do một botnet phần mềm độc hại có tên là Brutus, dựa trên các kiểu tấn công và phạm vi nhắm mục tiêu được quan sát.
Vẫn chưa được xác minh liệu các cuộc tấn công mà Cisco cảnh báo mới đây có phải là sự tiếp nối của những cuộc tấn công trước đó hay không. Hiện Cisco vẫn chưa có phản hồi chính xác và cụ thể về nhận định này.
Dương Ngân
(Tổng hợp)