Mã nguồn malware đã làm nên cuộc tấn công DDoS kỷ lục 1 1 Tbs vừa được công khai

26/06/2018

Rất có thể sắp tới sẽ còn nhiều cuộc tấn công khác tương tự như vậy được thực hiện.

Mã nguồn cung cấp sức mạnh cho mạng botnet của các thiết bị Internet of Things (IoT), vốn chịu trách nhiệm cho cuộc tấn công từ chối dịch vụ DDoS lớn nhất lịch sử nhắm vào KrebsOnSecurity tháng trước, đã được phát hành công khai. Rất có thể chỉ trong thời gian ngắn sắp tới, tữ mã nguồn này, Internet sẽ tràn ngập các cuộc tấn công từ hàng loạt mạng botnet mới, với các thiết bị định tuyến, các camera an ninh, các máy video kỹ thuật số và các thiết bị dễ bị xâm nhập khác.

Mã nguồn này được rò rỉ vào thứ Sáu vừa qua trên cộng đồng hacking bằng tiếng Anh, Hackforums. Phần mềm độc hại này, được đặt tên là “Mirai,” lây lan đến các thiết bị dễ bị tổn thương bằng cách liên tục quét mạng Internet cho các hệ thống IoT, vốn được bảo vệ bởi các chế độ mặc định từ nhà sản xuất hoặc bằng thông tin user name và mật khẩu mã hóa.

Bài đăng của Anna-Senpai trên diễn đàn Hackforums, trong đó có đường link để tải mã nguồn của Mirai.

Bài đăng của Anna-Senpai trên diễn đàn Hackforums, trong đó có đường link để tải mã nguồn của Mirai.

Các thiết bị dễ tấn công sau đó sẽ được “gieo” vào đó các phần mềm độc hại (các malware) để chuyển chúng thành các “bot,” buộc chúng phải báo cáo về một máy chủ điều khiển trung tâm. Những thiết bị này có thể được sử dụng như một bàn đạp để phát động các cuộc tấn công DDoS đầy sức mạnh, được thiết kế để hạ gục các website.

Người dùng phát hành mã nguồn trên diễn đàn Hackforums, có nickname là “Anna-senpai”, nói với các thành viên diễn đàn rằng, việc mã nguồn được phát hành nhằm đáp ứng cho nhu cầu tăng cường kiểm tra kỹ lưỡng từ ngành công nghiệp bảo mật.

Khi lần đầu tôi tham gia vào ngành công nghiệp DDoS, tôi không có kế hoạch để ở lại đó lâu.” Anna-senpai viết trên diễn đàn. “Tôi đã kiếm tiền cho mình, nhưng hiện có rất nhiều người đang nhìn vào ngành IoT, vì vậy giờ là lúc để tiết lộ tất cả. Hôm nay, tôi mang đến một bản phát hành tuyệt vời cho các bạn. Với Mirai, thường tôi kéo được tối đa 380k bot từ một telnet. Tuy nhiên, sau cuộc tấn công DDoS vào Krebs, các ISP (các nhà cung cấp mạng) đang từ từ giảm tốc độ mạng và làm sạch các các thiết bị của họ. Vì vậy, hôm nay, mức kéo tối đa chỉ đạt khoảng 300k bot, và đang giảm.”

Các nguồn tin cho KrebsOnSecurity biết rằng Mirai thuộc về ít nhất một trong hai gia đình malware, hiện đang được sử dụng để nhanh chóng lắp ghép thành các đội quân DDoS vô cùng lớn từ các thiết bị IoT. Một loại malware khác cũng đang thống trị trong thế giới IoT, được biết đến với tên Bashlight, có chức năng tương tự Mirai trong việc lây nhiễm đến các hệ thống thông qua những username và mật khẩu mặc định trên các thiết bị IoT.

Theo nghiên cứu từ hãng bảo mật Level3 Communications, mạng botnet Bashlight hiện đang chịu trách nhiệm cho việc khống chế gần một triệu thiết bị IoT và đang cạnh tranh trực tiếp với các mạng botnet dựa trên Mirai.

Cả hai mạng botnet này đang tìm kiếm cùng loại thiết bị IoT, và trong nhiều trường hợp, trên cùng các thiết bị.” Dale Drew, giám đốc an ninh của Level3, cho biết.

Các hệ thống bị lây nhiễm có thể được làm sạch malware bằng cách khởi động lại chúng – do đó sẽ xóa sạch các mã độc hại khỏi bộ nhớ. Nhưng các chuyên gia cho rằng, hiện có quá nhiều malware đang quét những hệ thống dễ bị tổn thương đến nỗi, những thiết bị IoT này có thể bị nhiễm mã độc trở lại chỉ trong vòng vài phút sau khi khởi động lại. Chúng chỉ có thể tránh bị lây nhiễm lại một cách nhanh chóng bằng cách thay đổi mật khẩu bảo vệ mặc định.

Trong những ngày xảy ra cuộc tấn công DDoS kỷ lục 620 Gbps nhắm vào KrebsOnSecurity.com, nickname này đã xác nhận rằng cuộc tấn công này được phát động bởi một mạng botnet Mirai. Phân tích sơ bộ về băng thông của cuộc tấn công này cho thấy, có lẽ băng thông lớn nhất của cuộc tấn công đến từ phần được thiết kế để nó trông giống như các gói dữ liệu theo giao thức GRE (generic routing encapsulation: giao thức đóng gói định tuyến chung).

Giao thức liên lạc này được sử dụng để thiết lập một kết nối thẳng, điểm-điểm (point-to-point) giữa các điểm nút mạng. GRE cho phép chia sẻ dữ liệu giữa hai thiết bị ngang hàng, trong khi những thiết bị này vốn không thể chia sẻ dữ liệu thông bản thân mạng kết nối công cộng.

Một chuyên gia bảo mật giấu tên cho biết, anh đã thử kiểm tra mã nguồn của Mirai theo những gì nó được công bố trên diễn đàn Hackforums và xác nhận rằng nó có những phần mã chịu trách nhiệm phối hợp trong các cuộc tấn công qua giao thức GRE.

Vẫn chưa rõ tại sao anna-senpai phát hành mã nguồn của Mirai, nhưng dường như hành động này không nhằm mục đích tích cực: những kẻ tội phạm phát triển phần mềm độc hại thường công khai mã nguồn của mình, khi chúng nhận thấy các điều tra viên của cơ quan thực thi pháp luật và các hãng bảo mật bắt đầu đến gần mình. Công khai mã nguồn trực tuyến cho tất cả cùng xem và tải xuống sẽ đảm bảo rằng tác giả ban đầu của những dòng mã này không phải là người duy nhất sở hữu nó, khi các nhà chức trách đến gõ cửa nhà chúng với lệnh khám xét trên tay.

Có lẽ trong thời gian tới, sẽ có rất nhiều người dùng Internet phàn nàn việc việc tốc độ truy cập mạng của họ bị các ISP làm chậm lại. Điều này có thể là do một đợt tấn công qua mạng lưới các IoT đang lấn át băng thông của đường truyền mạng. Về mặt tích cực, nếu tốc độ mạng bị chậm lại, nó cũng có thể giúp giảm bớt số lượng hệ thống dễ bị tổn thương.

Tuy nhiên về phía ngược lại, đang có ngày càng nhiều các thiết bị IoT mới, bảo mật mặc định kém được kết nối Internet mỗi ngày. Hãng Gartner Inc. dự báo rằng 6,4 tỷ thiết bị có kết nối sẽ được sử dụng trên toàn cầu vào năm 2016, tăng 30% so với năm 2015, và sẽ đạt đến con số 20,8 tỷ thiết bị vào năm 2020. Gartner cũng ước tính, trong năm 2016, 5,5 triệu thiết bị mới được kết nối mỗi ngày.

GenK - Tham khảo krebsonsecurity

 

Tin liên quan

16/06/2020

Phân tích chuyên sâu về xu hướng thị trường Trung tâm dữ liệu ở Đông Nam Á

Thị trường trung tâm dữ liệu ở Đông Nam Á đang ngày tăng trưởng mạnh với các khoản đầu tư lớn từ các nhà cung cấp đám mây như Google, AWS và Alibaba. Nhu cầu về các dịch vụ dựa trên đám mây sẽ chính là động lực cho thị trường trong vài năm tới.​

06/05/2020

Có gì bên trong Trung tâm dữ liệu Bình Dương của Viettel IDC?

Data Center Bình Dương là 1 trong 5 Trung tâm dữ liệu lớn của Viettel với diện tích phòng máy là 10 000 m2, cung cấp 1600 rack, phục vụ cho hơn 2000 khách hàng trong và ngoài nước.

07/03/2020

Xu hướng tương lai của nghề IT và công nghệ điện toán đám mây

Điện toán mây đã và đang hiện diện ở rất nhiều nơi, từ công việc cho đến cuộc sống. Các "đám mây" đã thay đổi đáng kể cách con người sử dụng máy tính và nó cũng tạo ra nhiều cơ hội và thách thức cho nghề IT trong tương lai.

04/03/2020

VMware bổ nhiệm Giám đốc phát triển đối tác mới, định hướng chuyển đổi số tại Việt Nam

Theo VMware, việc bổ nhiệm ông Venkatesh Murali vào vị trí Giám đốc Phát triển đối tác sẽ thúc đẩy hơn nữa hành trình chuyển đổi số và lên đám mây của các khách hàng tại những thị trường năng động, tăng trưởng nhanh ở châu Á, trong đó có Việt Nam.

13/02/2020

Viettel IDC thông báo mời thầu Quý I/2020

Viettel IDC thông báo mời thầu gói “Cung cấp dịch vụ thuê máy chủ phục vụ khách hàng Tổng Công ty giải pháp Doanh nghiệp Viettel Quý I/2020” theo hình thức Đấu thầu rộng rãi, phương thức một giai đoạn một túi hồ sơ, sử dụng Chi phí sản xuất kinh doanh của đơn vị.

05/02/2020

Làm việc online – Xu hướng mới của các doanh nghiệp công nghệ

Làm việc online, văn phòng online đang là xu hướng được nhiều doanh nghiệp áp dụng, nhất là các doanh nghiệp công nghệ. Bởi vì, với cách làm việc này sẽ giúp doanh nghiệp giảm thiểu chi phí thuê văn phòng, điện nước,…

16/01/2020

Viettel IDC thông báo lịch nghỉ Tết Nguyên Đán Canh Tý 2020 và một số lưu ý

Nhân dịp Tết Nguyên Đán Canh Tý 2020, Viettel IDC xin gửi lời cảm ơn đến Quý khách hàng đã sử dụng và ủng hộ dịch vụ của Viettel IDC trong suốt thời gian vừa qua.

20/12/2019

Các cấp độ/tiêu chuẩn trong đánh giá Data Center theo chuẩn quốc tế

Một nhà cung cấp dịch vụ datacenter của Việt Nam đã chính thức được ghi danh vào bản đồ các trung tâm dữ liệu đạt tiêu chuẩn ANSI/TIA-942 Rated 3. Vậy các tiêu chuẩn đánh giá Datacenter quốc tế như thế nào?

12/12/2019

Viettel IDC mở gói thầu mua sắm thiết bị máy chủ và thiết bị định tuyến phục vụ khách hàng

Công ty TNHH Viettel – CHT (Viettel IDC) có nhu cầu thực hiện gói thầu “Mua sắm thiết bị máy chủ và thiết bị định tuyến phục vụ khách hàng của TT Kinh doanh Miền Bắc tháng 12/2019” theo hình thức chào hàng cạnh tranh thông thường, sử dụng Vốn chủ sở hữu của Công ty.

11/12/2019

Viettel IDC mở gói thầu "Cung cấp dịch vụ thuê thiết bị triển khai hệ thống nội bộ phục vụ dự án 469 VTS”

Công ty TNHH Viettel – CHT (Viettel IDC) có nhu cầu thực hiện gói thầu“Cung cấp dịch vụ thuê thiết bị triển khai hệ thống nội bộ phục vụ dự án 469 VTS” theo hình thức chào hàng cạnh tranh thông thường, sử dụng Vốn chủ sở hữu của Công ty.