Trang WikiLeaks vừa tiết lộ một tài liệu mới, cho thấy Cục tình báo trung ương Mỹ (CIA) đã phát triển một bộ công cụ xâm nhập và chiếm quyền kiểm soát các thiết bị định tuyến (router) của bất kỳ người dùng mạng nào.

Router là thiết bị án ngữ ngay cổng ngoài của gần như mọi hệ thống, đảm nhiệm việc chia sẻ Internet tới nhiều thiết bị khác trong cùng lớp mạng.

{keywords}

CIA đã cài cắm một chương trình firmware tùy biến có tên gọi "Cherry Blossom" vào router của mục tiêu để theo dõi mọi hoạt động trên Internet của người dùng. Ảnh minh họa: PCPER

Về cơ chế hoạt động, router nhận dữ liệu Internet từ một modem và mỗi router sẽ có một địa chỉ IP công khai duy nhất trên Internet. Các máy chủ trên mạng Internet sẽ kết nối với router thông qua modem và thiết bị này có nhiệm vụ định tuyến lưu lượng truy cập đến các thiết bị khác trong mạng. Do đó, nếu hacker có thể chiếm quyền kiểm soát router của ai đó, hắn sẽ có một cánh cửa sổ để theo dõi mọi thứ đối tượng đang làm trên mạng trực tuyến.

Theo các tài liệu mới của WikiLeaks, CIA đã phát triển và duy trì một kho công cụ chuyên chiếm quyền kiểm soát các router. Cơ quan tình báo này đã sử dụng một chương trình có tên gọi "Cherry Blossom" (Hoa anh đào), khai thác bản tùy biến của một hệ điều hành dành riêng cho router (firmware) để biến thiết bị này thành công cụ theo dõi.

Sau khi xâm nhập thành công, Cherry Blossom cho phép một điệp viên theo dõi lưu lượng Internet của mục tiêu từ xa, rà quét các thông tin hữu ích như mật khẩu và thậm chí tái điều hướng mục tiêu tới một trang web mong muốn.

Tài liệu mô tả các phiên bản khác nhau của Cherry Blossom, với mỗi phiên bản được điều chỉnh cho phù hợp với từng thương hiệu và mẫu router nhất định. Tốc độ cập nhật phần cứng dường như đã khiến Cherry Blossom khó tấn công mọi mẫu router có trên thị trường, song theo Wikileaks, firmware này có thể xâm nhập gần 25 loại router khác nhau, phổ biến nhất do 10 hãng (Asus, Belkin, Buffalo, Dell, DLink, Linksys, Motorola, Netgear, Senao và US Robotics) sản xuất.

Về cách thức cài cắm Cherry Blossom vào router mục tiêu, CIA sẽ "dùng công cụ Claymore hoặc thông qua hoạt động chuỗi cung ứng". Trong đó, "hoạt động chuỗi cung ứng" nhiều khả năng ám chỉ việc cơ quan tình báo Mỹ xâm nhập vào thiết bị không dây ở khâu nào đó giữa nhà máy và người mua router, một thủ thuật phổ biến trong các hoạt động gián điệp. Tài liệu không nói rõ "công cụ Claymore" ở đây là gì.

Tài liệu rò rỉ đề năm 2012, nên hiện người ta chưa rõ các firmware theo dõi của CIA đã phát triển ra sao trong 5 năm vừa qua. Hiện cũng chưa rõ phạm vi sử dụng của Cherry Blossom rộng tới đâu, dù tài liệu thường mô tả việc CIA dùng các firmware này tấn công các router nhất định, thay vì theo dõi thiết bị định tuyến của số đông người dùng.

Giới quan sát hiện có lí do để tin rằng Cơ quan tình báo quốc gia Mỹ (NSA) từng sử dụng các thủ đoạn tương tự. Năm 2015, tờ The Intercept đã cho công bố các tài liệu mà "người thổi còi" Edward Snowden đánh cắp được, trong đó đề cập chi tiết cách Sở Chỉ huy thông tin của Chính phủ Anh (GCHQ) khai thác các lỗ hổng ở 13 mẫu tường lửa Juniper để nghe lén người dùng.

Tuấn Anh - Phạm Việt - Văn Thường (Theo The Verge, Slashdot)