Vào giữa năm 2025, một liên minh các hệ thống tự trị có trụ sở tại Ukraine đã thực hiện các chiến dịch tấn công mạng brute-force và password-spraying chưa từng có tiền lệ. Các cuộc tấn công này nhắm vào các dịch vụ SSL VPN và Remote Desktop Protocol (RDP) bị lộ ra ngoài, áp đảo các lớp phòng thủ bảo mật và làm nổi bật sự tinh vi ngày càng tăng của hạ tầng mạng liên quan đến nhà nước.

Chiến dịch **tấn công mạng** nhắm vào SSL VPN và RDP

Trong khoảng thời gian ba ngày tập trung vào tháng 7 năm 2025, mạng lưới hoạt động dưới AS211736 (“FDN3”), được cấp phát cho FOP Dmytro Nedilskyi, đã tung ra hơn 1,3 triệu lượt thử đăng nhập vào các điểm cuối VPN và RDP của doanh nghiệp.

Các nhà nghiên cứu bảo mật quy các cuộc tấn công phối hợp này cho một cụm hệ thống tự trị Ukraine liên kết với nhau, bao gồm VAIZ-AS (AS61432), E-RISHENNYA-ASN (AS210950), và FDN3 (AS211736). Các hệ thống này thường xuyên trao đổi tiền tố IP với TK-NET (AS210848) ở Seychelles để né tránh việc bị chặn.

Tất cả bốn mạng này đồng thời xuất hiện vào tháng 8 năm 2021 và chia sẻ định tuyến qua IP Volume Inc. (AS202425), một công ty vỏ bọc có trụ sở tại Seychelles của nhà cung cấp hosting “bulletproof” khét tiếng Ecatel tại Hà Lan.

Các cụm nhật ký đã tiết lộ sự phân phối gần như đồng nhất các nỗ lực tấn công giữa các cổng SSL VPN (TCP 443 và 8443) và RDP (TCP 3389). Điều này cho thấy một chiến lược thăm dò rộng rãi được thiết kế để tối đa hóa khả năng xâm nhập. Bạn có thể tham khảo báo cáo chi tiết tại đây.

Vào ngày 6 tháng 7 năm 2025, tiền tố 88.210.63.0/24 của FDN3 bắt đầu tạo ra các đợt thử đăng nhập trên hàng ngàn thiết bị VPN và máy chủ RDP, đạt đỉnh điểm với hơn 110.000 lượt truy cập trên mỗi địa chỉ IP riêng lẻ.

Cấu trúc hạ tầng kẻ tấn công và **rủi ro bảo mật** liên quan

Dữ liệu lịch sử từ tháng 4 năm 2025 xác nhận rằng Telkom Internet LTD (AS210848) và IP Volume Inc. (AS202425) trước đây đã dẫn các hoạt động quét quy mô lớn tương tự thông qua các tiền tố của VAIZ và E-RISHENNYA. Trong giai đoạn đó, các mạng honeypot đã ghi nhận hơn 27.000 lượt tấn công chỉ trong một tuần từ riêng AS210848.

Các số liệu của SANS Institute cũng ghi nhận hàng chục ngàn lượt truy cập vào cổng 5555 có nguồn gốc từ các ASN này. Sự hoạt động liên tục này cho thấy vai trò kép của các mạng: vừa là nền tảng brute-force, vừa là điểm tập kết cho việc lưu trữ máy chủ điều khiển và kiểm soát (C2) của mã độc và hạ tầng lừa đảo (phishing).

Mối liên hệ với RaaS và chiến lược che giấu **chiếm quyền điều khiển**

Thời điểm và chiến thuật của chiến dịch mang dấu ấn của các nhóm Ransomware-as-a-Service (RaaS) mới nổi, những nhóm dựa vào kỹ thuật nhồi nhét thông tin xác thực (credential stuffing) chậm rãi để giành được chỗ đứng ban đầu trong mạng. Để hiểu thêm về RaaS, bạn có thể tham khảo bài viết DeathGrip Ransomware.

Phân tích dữ liệu WHOIS cho thấy sự giám sát hành chính của FDN3 thuộc về nhà bảo trì đăng ký tại Nga, Alex Host LLC (“ru-alexgroup-1-MNT”). Đây là một nhà cung cấp hosting “bulletproof” với lịch sử được ghi nhận trong việc hỗ trợ các nhà điều hành RaaS bất hợp pháp.

Việc chuyển đổi tiền tố giữa các thực thể đăng ký tại Ukraine và Nga — ví dụ như việc chuyển 45.143.201.0/24 từ TOV VAIZ PARTNER sang Verasel Inc. (AS2100195) ở Seychelles — cho thấy một chuỗi công ty vỏ bọc chiến lược. Các công ty này được thiết kế để gây khó khăn cho việc truy vết và các nỗ lực gỡ bỏ.

Làm trầm trọng thêm mối đe dọa, các mạng tiền tuyến của Bulgaria như ROZA-AS (AS212283) và SS-Net (AS204428) cũng đã luân chuyển các tiền tố Ukraine để đảm bảo quyền truy cập không bị gián đoạn vào các dải IP bị lạm dụng.

Vào tháng 6 và tháng 7 năm 2025, các tiền tố 83.222.190.0/24 và 83.222.191.0/24 của SS-Net đã ghi nhận lần lượt hơn 55.000 và 12.900 lượt thử đăng nhập RDP. Điều này càng cho thấy sự phụ thuộc của các tác nhân vào các đối tác hosting “bulletproof” đa dạng về địa lý. Tìm hiểu thêm về các công cụ brute-force qua StegCracker.

Khả năng phục hồi hoạt động của các mạng này nhấn mạnh những hạn chế của các biện pháp phòng thủ chu vi chống lại các chiến dịch nhồi nhét thông tin xác thực và brute-force. Các chiến dịch **tấn công mạng** như vậy đặt ra thách thức lớn.

Các biện pháp tăng cường **an ninh mạng** và phòng thủ

Các chuyên gia khuyến nghị triển khai ngay lập tức các biện pháp giới hạn tốc độ (rate-limiting) nghiêm ngặt, xác thực đa yếu tố (MFA) và blocklisting toàn diện các ASN lạm dụng đã biết. Tổ chức nên đăng ký các danh sách chặn threat intelligence đáng tin cậy, chẳng hạn như những danh sách được Spamhaus công bố, để chủ động từ chối lưu lượng truy cập từ các mạng có rủi ro cao.

Khi các hoạt động RaaS tiếp tục tinh chỉnh các chiến thuật truy cập ban đầu, cộng đồng bảo mật phải thích ứng bằng cách tương quan các chuyển động tiền tố BGP với dữ liệu đo lường từ các cuộc tấn công. Điều này sẽ làm phong phú bối cảnh cho các biện pháp phòng thủ theo thời gian thực và giảm thiểu **rủi ro bảo mật**.

Các chiến dịch tấn công mạng của mạng lưới Ukraine vào tháng 7 năm 2025 là một lời nhắc nhở rõ ràng rằng kẻ thù ngày càng tận dụng các hạ tầng hosting “bulletproof” đa quốc gia, nhiều lớp để duy trì các hoạt động brute-force cường độ cao. Điều này nhấn mạnh nhu cầu cấp thiết về các nỗ lực phối hợp toàn cầu để loại bỏ các mạng lạm dụng này.