Ủy ban Truyền thông Liên bang Hoa Kỳ (FCC) hôm thứ Hai cho biết họ đã cấm nhập khẩu các router tiêu dùng mới sản xuất ở nước ngoài, với lý do rủi ro "không thể chấp nhận" đối với an ninh mạng và an ninh quốc gia.
Chủ tịch FCC Brendan Carr cho biết trong một bài đăng trên X rằng hành động này được thiết kế để bảo vệ người dân Mỹ và các mạng lưới truyền thông cơ bản mà đất nước này phụ thuộc vào. Động thái này có nghĩa là các mẫu router mới sản xuất ở nước ngoài sẽ không còn đủ điều kiện để tiếp thị hoặc bán tại Hoa Kỳ. Quyết định này được đưa ra sau một bản đánh giá an ninh quốc gia do các Executive Branch Agencies cung cấp, Carr nói thêm.
Để đạt được mục tiêu đó, tất cả các router tiêu dùng được sản xuất ở nước ngoài đã được thêm vào Covered List, trừ khi chúng được cấp Conditional Approval bởi Department of War (DoW) hoặc Department of Homeland Security (DHS) sau khi xác định rằng chúng không gây ra bất kỳ rủi ro nào.
Tính đến thời điểm hiện tại, danh sách được phê duyệt chỉ bao gồm drone systems và software-defined radios (SDRs) từ SiFly Aviation, Mobilicom, ScoutDI và Verge Aero. Các nhà sản xuất router tiêu dùng có thể nộp đơn xin Conditional Approval. Theo BBC News, các router Wi-Fi Starlink được miễn khỏi chính sách này, vì chúng được sản xuất tại bang Texas của Hoa Kỳ.
"Executive Branch determination đã lưu ý rằng các router sản xuất ở nước ngoài (1) gây ra 'một supply chain vulnerability có thể làm gián đoạn nền kinh tế Hoa Kỳ, critical infrastructure và national defense' và (2) đặt ra 'một rủi ro cybersecurity nghiêm trọng có thể được tận dụng để ngay lập tức và nghiêm trọng làm gián đoạn critical infrastructure của Hoa Kỳ và trực tiếp gây hại cho công dân Hoa Kỳ'," FCC cho biết.
Cơ quan này cho biết các threat actors được nhà nước bảo trợ và không được nhà nước bảo trợ đã khai thác các thiếu sót bảo mật trong các router gia đình và văn phòng nhỏ để xâm nhập vào các hộ gia đình Mỹ, làm gián đoạn mạng lưới, tạo điều kiện cho cyber espionage và đánh cắp intellectual property. Hơn nữa, các thiết bị này có thể bị sử dụng để tạo thành các mạng lưới lớn với mục tiêu thực hiện password spraying và unauthorized network access, cũng như hoạt động như các proxies cho espionage.
Rủi ro từ các nhóm APT và botnet
Các đối thủ liên quan đến Trung Quốc như Volt Typhoon, Flax Typhoon và Salt Typhoon cũng đã được quan sát thấy sử dụng các botnets bao gồm các router sản xuất ở nước ngoài để thực hiện các cyber attacks vào critical American communications, energy, transportation và water infrastructure.
"Trong các cuộc tấn công của Salt Typhoon, các cyber threat actors được nhà nước bảo trợ đã tận dụng các router bị xâm nhập và sản xuất ở nước ngoài để nhảy vào nhúng và có được quyền truy cập dài hạn vào các mạng nhất định và chuyển hướng sang các mạng khác tùy thuộc vào mục tiêu của chúng," theo National Security Determination (NSD).
Chính phủ Hoa Kỳ cũng nhấn mạnh một botnet được đặt tên là CovertNetwork-1658 (còn gọi là Quad7), đã được sử dụng để dàn dựng các password spray attacks có tính chất né tránh cao. Hoạt động này được đánh giá là do một Chinese threat actor có tên Storm-0940 thực hiện.
Điều đáng chú ý là việc cập nhật Covered List không ảnh hưởng đến việc khách hàng tiếp tục sử dụng các router đã mua. Nó cũng không ảnh hưởng đến các nhà bán lẻ, những người có thể tiếp tục bán, nhập khẩu hoặc tiếp thị các mẫu router đã được phê duyệt trước đó thông qua quy trình equipment authorization của FCC.
"Các router không an toàn và sản xuất ở nước ngoài là mục tiêu hàng đầu của những kẻ tấn công và đã được sử dụng trong nhiều cyber attacks gần đây để cho phép hacker truy cập vào mạng lưới và sử dụng chúng làm bệ phóng để xâm nhập critical infrastructure," NSD cho biết. "Các lỗ hổng được đưa vào mạng lưới và critical infrastructure của Mỹ do các router sản xuất ở nước ngoài là không thể chấp nhận được."
Tại sao router lại là mục tiêu hấp dẫn?
Router đã trở thành mục tiêu béo bở cho các cyber attacks, vì chúng đóng vai trò là kênh chính để truy cập internet. Các router bị xâm nhập có thể cho phép threat actors thực hiện network surveillance, exfiltrate data và thậm chí phân phối malware cho nạn nhân. Năm 2014, nhà báo Glenn Greenwald cáo buộc trong cuốn sách No Place to Hide của mình rằng U.S. National Security Agency (NSA) thường xuyên chặn các router trước khi các nhà sản xuất Hoa Kỳ xuất khẩu chúng để cấy ghép backdoors.
