Mạng lưới Operational Relay Box (ORB) đã nổi lên như một công cụ tinh vi, được các tác nhân đe dọa sử dụng để che giấu các hoạt động tấn công mạng của chúng khỏi các đội ngũ bảo mật trên toàn thế giới. Các mạng lưới che giấu này bao gồm các thiết bị Internet-of-Things (IoT) bị xâm nhập, router Small Office/Home Office (SOHO) và Máy chủ Riêng Ảo (Virtual Private Server – VPS) đã bị kiểm soát.

Những thành phần này hoạt động cùng nhau để che đậy nguồn gốc thực sự của các hoạt động độc hại. Bằng cách định tuyến lưu lượng tấn công qua nhiều điểm chuyển tiếp, mạng lưới ORB gây khó khăn cực độ cho các chuyên gia an ninh mạng trong việc truy vết hoạt động độc hại về nguồn gốc, tạo ra một thách thức đáng kể.

Hiểu về Mạng lưới Operational Relay Box (ORB) và Mối đe dọa

Cơ chế hoạt động và Che giấu nguồn gốc

Mạng lưới ORB là một hệ thống phân tán phức tạp. Chúng được xây dựng từ hàng nghìn thiết bị đã bị chiếm quyền kiểm soát.

Các thiết bị này bao gồm từ camera an ninh, thiết bị nhà thông minh cho đến các router gia đình và máy chủ VPS chuyên dụng. Điều này cho phép kẻ tấn công tạo ra một lớp ngụy trang dày đặc cho lưu lượng truy cập của mình.

Mục tiêu chính là che giấu địa chỉ IP nguồn thực sự. Từ đó, làm phức tạp đáng kể quá trình điều tra pháp y và phản ứng sự cố của các đội ngũ an ninh.

Việc sử dụng nhiều điểm chuyển tiếp khiến việc thiết lập các quy tắc tường lửa hiệu quả trở nên khó khăn. Điều này đặc biệt đúng khi các điểm chuyển tiếp liên tục thay đổi hoặc được sử dụng bởi nhiều tác nhân.

Tác động của ORB trong các Chiến dịch Tấn công

Tính chất nguy hiểm của các mạng lưới ORB đã được minh chứng rõ rệt trong các chiến dịch gần đây. Ví dụ, nhóm tấn công UNC3886 đã triển khai một chiến dịch nhắm mục tiêu vào các nhà khai thác viễn thông lớn.

Trong chiến dịch này, UNC3886 đã khai thác các lỗ hổng zero-day trong tường lửa chu vi (perimeter firewalls). Chúng còn triển khai các rootkit tiên tiến để né tránh hệ thống phát hiện.

Mục tiêu là duy trì quyền truy cập bền bỉ vào cơ sở hạ tầng quan trọng. Việc này cho phép chúng thực hiện các hành vi gián điệp hoặc phá hoại trong thời gian dài mà không bị phát hiện.

Sự kết hợp giữa lỗ hổng zero-day và mạng lưới ORB tạo ra một kịch bản tấn công mạng cực kỳ khó phòng thủ. Khả năng ẩn mình của ORB kết hợp với lợi thế của zero-day cho phép kẻ tấn công tiến sâu vào hệ thống.

Ưu điểm Chiến thuật của Mạng lưới ORB

Pha trộn lưu lượng và Khả năng phục hồi

Các mạng lưới ORB cung cấp cho kẻ tấn công nhiều lợi thế chiến lược mà các phương pháp truyền thống không thể sánh bằng. Chúng hoạt động như các dịch vụ proxy dân cư riêng tư, cho phép lưu lượng độc hại hòa lẫn một cách liền mạch với hoạt động người dùng hợp pháp.

Lưu lượng này đến từ các kết nối băng thông rộng tại nhà và doanh nghiệp. Điều này làm cho nỗ lực chặn trở nên đặc biệt rủi ro.

Bởi vì, các nhà phòng thủ có thể vô tình làm gián đoạn các dịch vụ hợp pháp khi cố gắng ngăn chặn các cuộc tấn công mạng.

Khả năng phục hồi của mạng lưới ORB đến từ kiến trúc phân tán và thành phần động của chúng. Kẻ tấn công có thể nhanh chóng mở rộng các mạng này bằng cách thêm hoặc xóa các thiết bị bị xâm nhập.

Điều này làm cho chúng có khả năng chống lại các nỗ lực gỡ bỏ (takedown) rất cao. Khi các đội an ninh phát hiện và chặn một nút, các tác nhân đe dọa chỉ cần thay thế nó bằng một nút khác.

Điều này đảm bảo tính liên tục trong hoạt động của chúng mà không bị gián đoạn đáng kể.

Tiền vị trí và Tránh né kiểm soát

Điều làm cho mạng lưới ORB đặc biệt nguy hiểm là khả năng được sử dụng cho mục đích tiền vị trí (pre-positioning) hàng tháng trước khi các cuộc tấn công mạng thực sự xảy ra. Kẻ thù thiết lập các cơ sở hạ tầng chuyển tiếp này từ sớm.

Điều này cho phép chúng tiến hành trinh sát và thăm dò các chu vi mục tiêu trong khi vẫn duy trì an ninh hoạt động. Bằng cách định tuyến lưu lượng qua các nút gần mục tiêu về mặt địa lý, kẻ tấn công có thể vượt qua các kiểm soát geofencing.

Các hoạt động của chúng sẽ có vẻ hợp pháp hơn đối với hệ thống giám sát an ninh. Điều này tạo ra một lớp bảo vệ bổ sung, làm cho việc phát hiện mối đe dọa mạng trở nên khó khăn hơn.

Để tìm hiểu sâu hơn về cơ chế hoạt động và cấu trúc của các mạng lưới này, bạn có thể tham khảo bài viết chi tiết từ Team Cymru tại An Introduction to Operational Relay Box (ORB) Networks.

Chiến lược Phòng thủ Chống lại ORB

Biện pháp chủ động và Bảo vệ An ninh mạng

Các chuyên gia bảo mật khuyến nghị các tổ chức nên triển khai các chiến lược săn lùng mối đe dọa chủ động (proactive threat hunting). Cần tập trung vào phân tích hành vi và các mô hình bảo mật Zero Trust.

Đây là những biện pháp thiết yếu để phòng thủ chống lại các mạng lưới phức tạp này. Việc theo dõi lưu lượng mạng liên tục là rất quan trọng.

Các hệ thống Phát hiện Xâm nhập (IDS) và hệ thống Thông tin An ninh và Quản lý Sự kiện (SIEM) cần được cấu hình để tìm kiếm các dấu hiệu bất thường.

Cập nhật router thường xuyên, giám sát lưu lượng mạng và tích hợp thông tin tình báo mối đe dọa (threat intelligence) nâng cao vẫn là các biện pháp bảo vệ an ninh mạng cần thiết. Điều này giúp phát hiện sớm các hoạt động đáng ngờ.

Việc rà soát định kỳ các bản ghi hệ thống và các luồng dữ liệu mạng có thể giúp nhận diện các mẫu hành vi không điển hình. Những mẫu này có thể chỉ ra sự hiện diện của các hoạt động ORB.

Đồng thời, việc tăng cường bảo mật các thiết bị IoT và SOHO trong mạng của bạn có thể giảm thiểu nguy cơ chúng bị chiếm đoạt và biến thành các nút ORB.