Điện thoại hay router của bạn có thể là một trong 17 triệu thiết bị bị âm thầm cho thuê

Một mạng botnet không phải lúc nào cũng tự lộ diện bằng cách làm điện thoại chậm như rùa bò hay phủ kín màn hình bằng cửa sổ quảng cáo. Mạng lưới mà cảnh sát Hà Lan vừa đánh sập gần như không làm điều gì một người dùng bình thường có thể nhận ra. Nó lặng lẽ mượn một phần nhỏ của hơn 17 triệu thiết bị, gồm máy tính, điện thoại, máy tính bảng, router gia đình và các thiết bị kết nối internet, rồi cho người lạ thuê lại đường truyền của chúng. Nếu một trong số đó là thiết bị của bạn, một kẻ bạn không bao giờ gặp có thể đã lướt web, thu thập dữ liệu hoặc tấn công các trang web qua đường mạng nhà bạn suốt nhiều tháng.

Cảnh sát Quốc gia Hà Lan và Trung tâm An ninh mạng Quốc gia của nước này đã chấm dứt hoạt động sau khi thu giữ khoảng 200 máy chủ từ một nhà cung cấp dịch vụ lưu trữ đặt ngay trong lãnh thổ Hà Lan. Các điều tra viên mô tả mạng lưới này là một dịch vụ proxy dân cư, một hệ thống định tuyến lưu lượng của người này qua thiết bị thật của người khác để trông giống như việc lướt web bình thường tại một hộ gia đình. Lớp ngụy trang đó chính là toàn bộ sản phẩm. Lưu lượng trông như xuất phát từ một địa chỉ nhà thật sẽ lọt qua các bộ lọc gian lận vốn sẽ chặn ngay một máy chủ trung tâm dữ liệu đã biết, và đó chính là lý do proxy dân cư được giới quảng cáo, kẻ thu thập dữ liệu lẫn tội phạm thèm muốn như nhau.

Báo chí Hà Lan đã liên hệ hạ tầng này với ASOCKS, một công ty đặt trụ sở tại Nga chuyên bán quyền truy cập proxy dân cư và proxy di động theo hình thức thương mại. Nhìn bề ngoài, ASOCKS trông như một dịch vụ thuê bao bình thường. Vấn đề nằm ở chỗ các kết nối dân cư của nó đến từ đâu. Các nhà nghiên cứu bảo mật đã cảnh báo trong nhiều năm rằng phần lớn thiết bị nuôi sống những mạng như thế chưa bao giờ được đăng ký một cách có ý thức, và chủ nhân của chúng không hề biết băng thông của mình đang bị rao bán.

Thiết bị bị chiêu mộ bằng vài cách khác nhau, và gần như tất cả đều quy về việc đặt niềm tin sai chỗ vào phần mềm miễn phí. Một số người cài một ứng dụng miễn phí, một bộ hình nền, một tiện ích cho điện thoại hay một VPN không chính thức, vốn lặng lẽ đính kèm phần mềm proxy chạy nền. Trên Android, một thư viện mã có tên PROXYLIB, giấu bên trong một bộ công cụ phát triển mà các nhà làm ứng dụng nhúng vào sản phẩm của họ, đã âm thầm đăng ký điện thoại làm nút proxy mà không hỏi. Những máy khác bị nhiễm mã độc cài thẳng cùng khả năng đó. Trong mọi trường hợp, thiết bị vẫn chạy bình thường trong khi đường truyền của nó làm việc cho kẻ khác.

Một khi đã vào nhóm, đường truyền của một thiết bị có thể bị dùng cho gần như mọi việc hưởng lợi từ vẻ ngoài của một người dùng gia đình vô hại. Giới chức Hà Lan cho biết mạng lưới này nuôi các chiến dịch lừa đảo, thư rác, các cuộc tấn công từ chối dịch vụ làm sập dịch vụ trực tuyến, các nỗ lực đăng nhập kiểu dò mật khẩu và nhồi thông tin xác thực, gian lận nhấp chuột, cùng các chiêu bơm tin nhắn SMS rút tiền âm thầm qua các đầu số tính phí cao. Một chiếc router bị chiếm đơn lẻ chẳng làm được bao nhiêu. Mười bảy triệu chiếc gộp lại trở thành một hạ tầng đáng kể.

Việc triệt phá là có thật, nhưng không phải liều thuốc chữa khỏi. Cảnh sát đã thu giữ các máy chủ điều phối mạng lưới, nhưng trang web của ASOCKS sau đó vẫn truy cập được, và không rõ phần lõi của hoạt động kinh doanh thực sự bị phá hủy bao nhiêu. Tắt các máy chủ điều khiển không tự động làm sạch 17 triệu thiết bị, bởi mã proxy đính kèm và mã độc có thể nằm yên trong một chiếc điện thoại hay router cho đến khi một kẻ điều hành mới nhặt chúng lên. Hơn nữa, việc lạm dụng proxy dân cư là một thị trường, không phải một công ty đơn lẻ. Đóng một mạng thì nhu cầu chuyển sang mạng kế tiếp, vì cơn khát hợp pháp đối với các địa chỉ thật, từ các hãng kiểm chứng quảng cáo đến các công ty AI quét dữ liệu web, giữ cho mô hình này luôn sinh lời.

Để hình dung quy mô, 17 triệu thiết bị đưa mạng này vào hàng những mạng proxy lớn nhất từng bị ngắt, lớn hơn nhiều so với phần lớn các botnet mã độc lên mặt báo vì phát tán một loại virus duy nhất. Tuy nhiên, khác với một vụ nhiễm mã độc tống tiền, hiếm khi có triệu chứng rõ ràng. Các dấu hiệu thường rất đời thường: một chiếc router nóng lên hoặc tự khởi động lại vô cớ, một gói cước nhà liên tục chạm trần dữ liệu, một chiếc điện thoại hao pin và hao dữ liệu không khớp với cách bạn thực sự dùng, hay các trang web liên tục bắt bạn giải captcha vì cho rằng địa chỉ của bạn đáng ngờ.

Vì thiết bị nhiễm rải rác khắp thế giới chứ không tập trung ở một quốc gia, rủi ro không mang tính khu vực. Bất kỳ ai dùng một router cũ kỹ hay một chiếc điện thoại Android giá rẻ chất đầy tiện ích miễn phí đều có thể bị cuốn vào. Cách phòng vệ thiết thực thì không hào nhoáng và rất quen thuộc: cập nhật router và điện thoại, xóa các ứng dụng miễn phí bạn không thực sự dùng, tránh xa phần mềm tải ngoài cửa hàng chính thức và các VPN không chính thức hứa hẹn cho không, và khởi động lại chiếc router đã chạy liên tục nhiều năm mà không ai đụng tới.

Vụ việc bắt đầu khi một nhà nghiên cứu bảo mật báo cho Trung tâm An ninh mạng Quốc gia về hoạt động proxy đáng ngờ, và giới chức Hà Lan cho biết việc phân tích các máy chủ thu giữ vẫn đang tiếp tục, đến nay chưa công bố vụ bắt giữ nào. Điều nó cho thấy rõ là nền kinh tế thiết bị giờ đây bao gồm cả một chợ đen cho băng thông của bạn. Lần tới khi một ứng dụng miễn phí, món hàng đang được bán có thể chính là kết nối internet mà bạn vẫn đang trả tiền.