Lần đầu tiên, Cơ quan tình báo Canada được cấp lệnh tòa án để ‘dọn dẹp’ các thiết bị nhiễm botnet
Cơ quan Tình báo An ninh Canada (CSIS) vừa thực hiện một tiền lệ pháp lý chưa từng có, sử dụng lệnh tòa án để can thiệp trực tiếp vào các thiết bị bị nhiễm botnet trên lãnh thổ nước này nhằm ngăn...
Cơ quan Tình báo An ninh Canada (CSIS) gần đây đã nhận được sự cho phép từ Tòa án Liên bang để thực hiện một chiến dịch chưa từng có tiền lệ: can thiệp trực tiếp vào các server, router gia đình và thiết bị IoT bị nhiễm mã độc trên lãnh thổ Canada nhằm vô hiệu hóa hai mạng lưới botnet do các thế lực nước ngoài điều khiển.
Theo tài liệu tòa án được công khai vào ngày 15/6, đây là lần đầu tiên CSIS sử dụng quyền hạn “giảm thiểu mối đe dọa” (threat reduction warrant) theo cách này. Lệnh tòa cho phép cơ quan này thay đổi, làm suy yếu hoặc xóa bỏ dữ liệu botnet trên các thiết bị bị chiếm quyền, đồng thời ngắt kết nối chúng khỏi mạng lưới điều khiển của tin tặc.
Mục tiêu là thiết bị, không phải người dùng
Các thiết bị nằm trong tầm ngắm bao gồm server, router văn phòng nhỏ/gia đình (SOHO) và các thiết bị IoT như chuông cửa thông minh, camera an ninh và TV. Thẩm phán Catherine Kane đã phê duyệt lệnh này vào tháng 5/2024. Tòa án nhấn mạnh rằng chiến dịch này tập trung vào việc loại bỏ mã độc khỏi thiết bị, không thu thập danh tính người dùng hay chặn nội dung cá nhân. Mọi dữ liệu cá nhân vô tình bị thu thập đều phải bị tiêu hủy.
Các botnet này hoạt động theo mô hình relay truyền thống, sử dụng phần cứng bị chiếm quyền tại Canada để ngụy trang các hoạt động thăm dò hạ tầng trọng yếu, mạng lưới chính phủ và quân sự, khiến các cuộc tấn công trông giống như lưu lượng truy cập từ người dùng nội địa hoặc khách hàng ISP thông thường.
Sự khác biệt về thẩm quyền
Chiến dịch này có nét tương đồng với các hoạt động của FBI tại Mỹ (như vụ triệt phá botnet KV-botnet của nhóm Volt Typhoon). Tuy nhiên, có một sự khác biệt quan trọng về mặt pháp lý: Trong khi Mỹ sử dụng quyền thực thi pháp luật để tìm kiếm và thu giữ, Canada lại sử dụng quyền hạn của cơ quan tình báo để chủ động ngăn chặn mối đe dọa. Đây là lần đầu tiên CSIS áp dụng quyền hạn này kể từ khi Luật An ninh Quốc gia 2017 có hiệu lực vào năm 2019.
Bài học về bảo mật thiết bị
Dù chính phủ đã can thiệp để loại bỏ malware, các chuyên gia cảnh báo rằng đây không phải là giải pháp triệt để. Các thiết bị SOHO và IoT thường bị nhiễm do lỗi thời, không được cập nhật firmware hoặc vẫn sử dụng mật khẩu mặc định. Việc dọn dẹp từ xa không vá được các lỗ hổng bảo mật gốc. Nếu chủ sở hữu không thay thế phần cứng cũ hoặc cấu hình lại bảo mật, thiết bị vẫn có nguy cơ bị tái nhiễm chỉ sau một lần khởi động lại.
Hiện tại, danh tính của các quốc gia đứng sau hai mạng lưới botnet này vẫn được giữ kín trong các tài liệu công khai, nhưng vụ việc một lần nữa gióng lên hồi chuông cảnh báo về rủi ro từ các thiết bị mạng không được quản lý trong hạ tầng trọng yếu.
Nguồn tham khảo: The Hacker News
No Comment! Be the first one.