Cục Điều tra Liên bang (FBI) đã phát đi cảnh báo nghiêm trọng tới công chúng, khu vực tư nhân và các đối tác quốc tế về các lỗ hổng CVE bị khai thác bởi những mối đe dọa mạng dai dẳng từ các tác nhân liên kết với Trung tâm 16 của Cơ quan An ninh Liên bang Nga (FSB). Đơn vị này, được biết đến trong giới an ninh mạng với các biệt danh như “Berserk Bear” và “Dragonfly”, đã tích cực khai thác các lỗ hổng trong hạ tầng mạng.

Các hoạt động của nhóm đặc biệt tập trung vào Giao thức Quản lý Mạng Đơn giản (SNMP) và các lỗ hổng chưa được vá trong các thiết bị Cisco đã hết vòng đời (end-of-life). Mục tiêu chính của chúng là thiết lập quyền truy cập trái phép và thực hiện trinh sát sâu rộng trong các mạng mục tiêu, đặc biệt là các lĩnh vực cơ sở hạ tầng quan trọng của Hoa Kỳ.

Mối Đe Dọa Mạng Từ FSB Center 16 và CVE-2018-0171

Một trong những lỗ hổng CVE trọng tâm được FBI nhấn mạnh là CVE-2018-0171. Lỗ hổng này ảnh hưởng đến chức năng Cisco Smart Install (SMI) – một công cụ triển khai plug-and-play đơn giản cho các thiết bị định tuyến Cisco. Việc khai thác thành công CVE-2018-0171 cho phép kẻ tấn công có thể truy cập trái phép, thao túng cấu hình thiết bị và thậm chí thực thi mã từ xa (Remote Code Execution) trên các thiết bị bị ảnh hưởng.

Sự nguy hiểm của lỗ hổng CVE này nằm ở khả năng chiếm quyền điều khiển hoàn toàn thiết bị mà không cần xác thực. Thông tin chi tiết về CVE-2018-0171 có thể được tìm thấy tại NVD NIST, một nguồn đáng tin cậy cung cấp các chi tiết kỹ thuật và đánh giá mức độ nghiêm trọng.

Mục Tiêu và Phương Pháp Tấn Công Nhắm vào Cơ Sở Hạ Tầng Quan Trọng

Trong năm qua, các cuộc điều tra của FBI đã phát hiện ra rằng các tác nhân liên kết với FSB đã thu thập các tệp cấu hình từ hàng ngàn thiết bị mạng. Các thiết bị này liên kết với các thực thể Hoa Kỳ trên các lĩnh vực cơ sở hạ tầng quan trọng, bao gồm năng lượng, giao thông vận tải và tiện ích công cộng.

Trong nhiều trường hợp, những kẻ xâm nhập đã chủ động thay đổi các cấu hình này để thiết lập và duy trì quyền truy cập trái phép một cách bền vững. Điều này cho phép chúng thực hiện các hoạt động trinh sát chi tiết và sâu rộng bên trong các mạng nạn nhân. Các hoạt động trinh sát này cho thấy sự quan tâm đặc biệt đến các giao thức và ứng dụng quan trọng đối với các hệ thống điều khiển công nghiệp (ICS), cũng như những hệ thống được sử dụng trong môi trường công nghệ vận hành (OT).

Mục tiêu cuối cùng của hoạt động trinh sát này có thể là tạo nền tảng cho các hành vi phá hoại nghiêm trọng hơn, chẳng hạn như trích xuất dữ liệu nhạy cảm hoặc gây ra sự gián đoạn và phá hoại hệ thống. Các hoạt động của FSB Center 16 đã kéo dài hơn một thập kỷ, với một mô hình nhất quán là nhắm mục tiêu vào các thiết bị mạng toàn cầu hỗ trợ các giao thức cũ, không được mã hóa bao gồm SNMP phiên bản 1 và 2, cũng như SMI.

Mã Độc Tùy Chỉnh và Kỹ Thuật Duy Trì Quyền Truy Cập

Các tác nhân này đã chứng minh khả năng tinh vi, bao gồm việc triển khai các phần mềm độc hại tùy chỉnh. Một ví dụ đáng chú ý là mã độc “SYNful Knock”, được công khai vào năm 2015. Mã độc này được thiết kế để nhúng trực tiếp vào phần sụn (firmware) của bộ định tuyến Cisco.

Việc nhúng mã độc vào firmware giúp duy trì quyền truy cập lâu dài và kích hoạt các kênh liên lạc command-and-control (C2) bí mật. Những chiến thuật như vậy khai thác các điểm yếu vốn có của phần cứng và phần mềm đã lỗi thời. Khi một thiết bị đạt trạng thái hết vòng đời, thường có nghĩa là nhà sản xuất không còn cung cấp các bản cập nhật bảo mật hoặc hỗ trợ kỹ thuật, khiến thiết bị đặc biệt dễ bị tấn công thực thi mã từ xa và giả mạo cấu hình.

Phát Hiện và Phân Tích Threat Intelligence Về Mối Đe Dọa Mạng

Những nỗ lực phát hiện của FBI cho thấy các hoạt động mạng này không phải là đơn lẻ mà là một phần của chiến dịch lớn hơn. Mục tiêu là trinh sát và leo thang tiềm năng chống lại cơ sở hạ tầng quan trọng của các quốc gia khác. Điều này hoàn toàn phù hợp với các chiến thuật đã biết của các tác nhân do nhà nước Nga bảo trợ, vốn ưu tiên sự bí mật và việc thiết lập vị trí chiến lược trong các mạng mục tiêu.

Hoạt động này thuộc về các nhóm mối đe dọa liên quan. Cisco Talos gần đây đã xác định chúng là “Static Tundra” trong một bài đăng blog ngày 20 tháng 8 năm 2025. Bài viết này trình bày chi tiết phân tích pháp y của họ về các kỹ thuật xâm nhập được sử dụng bởi nhóm này, cung cấp thêm thông tin về mối đe dọa mạng này.

Chỉ Số Đe Dọa (IOCs) và Các Biện Pháp Giảm Thiểu

FBI nhấn mạnh rằng các hướng dẫn trước đây vẫn còn rất phù hợp. Bao gồm Cảnh báo Kỹ thuật năm 2018 về các tác nhân do nhà nước Nga bảo trợ nhắm mục tiêu vào các thiết bị hạ tầng mạng, và Tư vấn Chung ngày 6 tháng 5 năm 2025 nêu bật các biện pháp giảm thiểu chính để giảm thiểu mối đe dọa mạng đối với công nghệ vận hành.

Các Chỉ Số Đe Dọa (IOCs) Cần Giám Sát

• Lưu lượng SNMP bất thường hoặc không mong muốn, đặc biệt là từ các nguồn không xác định hoặc đến các điểm đến bất thường.
• Thay đổi cấu hình không được ủy quyền hoặc không giải thích được trên thiết bị mạng, bao gồm cả việc thêm hoặc sửa đổi tài khoản người dùng, dịch vụ.
• Sự hiện diện của phần mềm độc hại được nhúng trong firmware hoặc các tệp hệ thống khác (ví dụ: các biến thể của SYNful Knock).
• Các tệp cấu hình thiết bị bị đánh cắp hoặc bị thay đổi, đặc biệt là những tệp chứa thông tin nhạy cảm về cấu trúc mạng.

Khuyến Nghị Bảo Vệ và Cập Nhật Bản Vá Bảo Mật

Các tài liệu và khuyến nghị của FBI đề xuất các hành động khẩn cấp để tăng cường an ninh mạng. Các tổ chức được kêu gọi giám sát chặt chẽ các chỉ số xâm nhập (IOCs) như lưu lượng SNMP bất ngờ hoặc thay đổi cấu hình trái phép. Việc nâng cấp các thiết bị hết vòng đời lên các mẫu được hỗ trợ với các tiêu chuẩn mã hóa hiện đại là cần thiết để bảo vệ khỏi các lỗ hổng CVE mới và cũ.

Dưới đây là các khuyến nghị cụ thể để tăng cường phòng thủ và giảm thiểu rủi ro:

• Cập nhật bản vá bảo mật: Áp dụng ngay lập tức các bản vá bảo mật cho tất cả các lỗ hổng đã biết, đặc biệt là CVE-2018-0171 và các lỗ hổng khác ảnh hưởng đến thiết bị mạng. Việc thường xuyên cập nhật bản vá là tuyến phòng thủ đầu tiên.
• Vô hiệu hóa giao thức cũ: Tắt các giao thức không cần thiết và không an toàn, đặc biệt là SNMPv1/v2c và Cisco SMI nếu không được sử dụng hoặc nếu có thể thay thế bằng các phiên bản an toàn hơn.
• Phân đoạn mạng: Triển khai các giải pháp phân đoạn mạng mạnh mẽ để cô lập môi trường OT/ICS khỏi mạng IT tổng thể. Điều này giúp giảm thiểu khả năng lây lan của cuộc tấn công nếu một phần mạng bị xâm nhập.
• Giám sát chặt chẽ: Thiết lập và duy trì giám sát liên tục các chỉ số xâm nhập (IOCs) đã nêu, đặc biệt là lưu lượng SNMP bất thường và thay đổi cấu hình thiết bị. Sử dụng các hệ thống phát hiện xâm nhập (IDS/IPS) và SIEM.
• Nâng cấp thiết bị: Thay thế hoặc nâng cấp các thiết bị đã hết vòng đời bằng các mô hình mới hơn có hỗ trợ mã hóa và các tính năng bảo mật hiện đại. Các thiết bị cũ là điểm yếu lớn.

Tham khảo thêm thông tin chi tiết từ báo cáo của FBI tại IC3.gov để có cái nhìn toàn diện về các mối đe dọa này.

Quy Trình Báo Cáo Sự Cố Phát Hiện Xâm Nhập

Trong trường hợp nghi ngờ bị xâm nhập bởi các tác nhân liên kết với FSB, FBI khuyến nghị báo cáo kịp thời cho văn phòng hiện trường địa phương hoặc thông qua Trung tâm Khiếu nại Tội phạm Internet (IC3).

Trước khi gửi báo cáo, nạn nhân nên đánh giá kỹ lưỡng các bộ định tuyến và thiết bị mạng để tìm kiếm các dấu hiệu bất thường. Điều này bao gồm việc kiểm tra các phần mềm độc hại được cấy ghép, cấu hình bị thay đổi, hoặc bất kỳ dấu hiệu xâm nhập nào khác. Việc cung cấp các chi tiết kỹ thuật chính xác và đầy đủ trong báo cáo là cực kỳ quan trọng để hỗ trợ các cuộc điều tra và đối phó hiệu quả. Lập trường chủ động này rất quan trọng để làm gián đoạn các nỗ lực trinh sát của kẻ tấn công và bảo vệ cơ sở hạ tầng quan trọng khỏi các mối đe dọa leo thang, góp phần tăng cường an ninh mạng chung.