Covert network từ các router và thiết bị edge bị xâm nhập đang được dùng để che giấu lưu lượng trong các chiến dịch tấn công mạng nhắm vào nhiều tổ chức. Thay vì dựng hạ tầng riêng, tác nhân đe dọa tận dụng thiết bị gia đình, văn phòng nhỏ và IoT để tạo lớp trung chuyển khó truy vết, khiến việc phát hiện xâm nhập bằng danh sách IP tĩnh trở nên kém hiệu quả.
Covert network và cách che giấu lưu lượng
Mô hình này dựa trên việc chiếm quyền các router và thiết bị biên đã lỗi thời, sau đó chuyển chúng thành các relay node. Lưu lượng độc hại được hòa trộn với hoạt động Internet bình thường, làm giảm khả năng định danh nguồn phát.
Điểm đáng chú ý là hạ tầng này liên tục thay đổi. Khi một node bị chặn, node khác có thể thay thế gần như ngay lập tức, tạo ra một mối đe dọa linh hoạt và bền vững hơn so với cơ sở hạ tầng cố định.
Phạm vi sử dụng trong chuỗi tấn công
Thiết bị bị xâm nhập được sử dụng ở gần như mọi giai đoạn của Cyber Kill Chain, từ quét và trinh sát, phân phối mã, đến liên lạc command and control và đánh cắp dữ liệu. Điều này khiến rủi ro bảo mật tăng cao vì mỗi bước của cuộc tấn công mạng đều có thể đi qua các thiết bị hợp lệ nhìn bề ngoài.
Hành vi này cũng làm sai lệch phân tích nguồn gốc, vì một phiên kết nối có thể trông như xuất phát từ mạng gia đình ở một thời điểm, rồi chuyển sang vị trí khác ở thời điểm tiếp theo.
Cảnh báo CVE và vai trò của firmware lỗi thời
Nguyên nhân ban đầu thường liên quan đến firmware cũ và các lỗ hổng CVE chưa được vá trên router hoặc thiết bị SOHO. Các thiết bị này bị khai thác để cài công cụ nhẹ, đủ để chuyển tiếp lưu lượng mà không để lại dấu vết đáng kể.
Trong bối cảnh cảnh báo CVE ngày càng nhiều, môi trường edge device thường bị bỏ sót vì không có quy trình cập nhật bản vá và kiểm kê tài sản chặt chẽ như máy chủ hoặc endpoint truyền thống.
Xem advisory của NCSC tại: NCSC advisory về covert networks của thiết bị bị xâm nhập.
Cơ chế hoạt động
Khi cần tấn công mục tiêu, lưu lượng không đi thẳng từ máy chủ đã biết mà được chuyển qua một chuỗi router và IoT bị chiếm quyền. Các thiết bị này thường thuộc mạng gia đình hoặc doanh nghiệp nhỏ, nên khó bị nhận diện như hạ tầng độc hại chuyên dụng.
Do các node bị thay đổi liên tục, hệ thống phòng thủ dựa trên quy tắc tĩnh, chặn IP cố định hoặc danh sách đen cứng sẽ nhanh chóng bị vô hiệu hóa. Đây là lý do các công cụ phát hiện tấn công cần dựa thêm vào phân tích hành vi và ngữ cảnh.
IOC extinction và hệ quả đối với phát hiện xâm nhập
Báo cáo mô tả hiện tượng IOC extinction, tức các IOC biến mất rất nhanh sau khi được phát hiện. Khi một node bị ghi nhận, hạ tầng phía sau đã tự thay đổi, khiến dấu vết số không còn hữu dụng trong thời gian dài.
Điều này làm giảm hiệu quả của các cơ chế giám sát chỉ dựa trên chữ ký hoặc chỉ số tĩnh. Với kiểu mối đe dọa mạng này, tổ chức cần ưu tiên baseline lưu lượng, phân tích bất thường và giám sát địa lý thay vì chỉ lọc theo IP.
IOC liên quan
- IOC extinction: chỉ dấu bị xóa hoặc thay đổi nhanh sau khi được nhận diện.
- Compromised routers: router bị chiếm quyền dùng làm relay node.
- Compromised IoT devices: thiết bị IoT bị xâm nhập để trung chuyển lưu lượng.
- SOHO traffic: lưu lượng từ thiết bị văn phòng nhỏ hoặc hộ gia đình, thường khó phân biệt với lưu lượng hợp lệ.
Ảnh hưởng hệ thống và rủi ro an toàn thông tin
Tác động lên tổ chức có thể bao gồm đánh cắp dữ liệu nhạy cảm và gián đoạn dịch vụ quan trọng. Vì hạ tầng tấn công ẩn sau một lớp thiết bị tiêu dùng bị xâm nhập, việc truy vết và quy trách nhiệm kỹ thuật trở nên khó hơn nhiều.
Các môi trường phụ thuộc vào điều khiển từ xa, VPN và truy cập biên là nhóm có nguy cơ bảo mật cao hơn. Nếu chỉ dựa vào IP allow/block list, hạ tầng thay đổi liên tục sẽ khiến biện pháp phòng thủ mất hiệu lực.
Khuyến nghị phòng thủ cho an ninh mạng
Để giảm rủi ro an toàn thông tin, các tổ chức cần lập bản đồ và baseline lưu lượng của thiết bị biên, đặc biệt là VPN và remote access. Dữ liệu này giúp phát hiện lệch chuẩn thay vì phụ thuộc hoàn toàn vào IOC tĩnh.
Two-factor authentication nên được bật cho mọi truy cập từ xa. Khi có thể, triển khai zero trust, machine certificate verification và danh sách cho phép động theo ngữ cảnh thay vì quy tắc cứng.
Biện pháp triển khai thực tế
- Baseline lưu lượng của edge device và so sánh theo thời gian.
- Áp dụng dynamic threat feed filtering cho các chỉ dấu đã biết.
- Ép buộc 2FA cho toàn bộ remote access.
- Ưu tiên zero trust cho kết nối quản trị và truy cập từ xa.
- Dùng IP allow lists kết hợp xác thực bằng certificate máy.
- Thực hiện phát hiện xâm nhập chủ động trên lưu lượng SOHO và IoT bất thường.
- Áp dụng geographic profiling để phát hiện vị trí nguồn không nhất quán.
Giám sát hành vi thay vì chỉ chặn IP
Trong mô hình tấn công mạng này, quy tắc chặn cố định không theo kịp sự thay đổi của hạ tầng. Cách tiếp cận phù hợp hơn là dùng machine learning-based anomaly detection để nhận diện mẫu lưu lượng bất thường, kết hợp kiểm tra độ lệch địa lý và tần suất kết nối.
Ở các tổ chức lớn hoặc có mức rủi ro cao, active threat hunting cần được triển khai trên lưu lượng SOHO và IoT để phát hiện node trung chuyển, trước khi chúng được dùng trong các giai đoạn tiếp theo của chiến dịch.
Điểm cần theo dõi trong hệ thống
- Lưu lượng VPN và remote access bất thường.
- Thiết bị biên có firmware lỗi thời hoặc chưa vá.
- Mẫu kết nối thay đổi nhanh về địa lý và IP nguồn.
- Lưu lượng lặp lại qua các node có hành vi trung chuyển giống nhau.
Tài liệu tham chiếu kỹ thuật
NCSC đã công bố advisory về mô hình covert network này vào 23 April 2026, nhấn mạnh nguy cơ từ các thiết bị bị xâm nhập và sự suy giảm hiệu quả của IOC truyền thống. Tài liệu gốc cũng mô tả việc chia sẻ cùng một pool node giữa nhiều chiến dịch, làm tăng tốc độ tái tạo hạ tầng và giảm tuổi thọ của chỉ dấu phát hiện.
