Mã nguồn malware đã làm nên cuộc tấn công DDoS kỷ lục 1 1 Tbs vừa được công khai

Rất có thể sắp tới sẽ còn nhiều cuộc tấn công khác tương tự như vậy được thực hiện.

Mã nguồn cung cấp sức mạnh cho mạng botnet của các thiết bị Internet of Things (IoT), vốn chịu trách nhiệm cho cuộc tấn công từ chối dịch vụ DDoS lớn nhất lịch sử nhắm vào KrebsOnSecurity tháng trước, đã được phát hành công khai. Rất có thể chỉ trong thời gian ngắn sắp tới, tữ mã nguồn này, Internet sẽ tràn ngập các cuộc tấn công từ hàng loạt mạng botnet mới, với các thiết bị định tuyến, các camera an ninh, các máy video kỹ thuật số và các thiết bị dễ bị xâm nhập khác.

Mã nguồn này được rò rỉ vào thứ Sáu vừa qua trên cộng đồng hacking bằng tiếng Anh, Hackforums. Phần mềm độc hại này, được đặt tên là “Mirai,” lây lan đến các thiết bị dễ bị tổn thương bằng cách liên tục quét mạng Internet cho các hệ thống IoT, vốn được bảo vệ bởi các chế độ mặc định từ nhà sản xuất hoặc bằng thông tin user name và mật khẩu mã hóa.

Bài đăng của Anna-Senpai trên diễn đàn Hackforums, trong đó có đường link để tải mã nguồn của Mirai.

Các thiết bị dễ tấn công sau đó sẽ được “gieo” vào đó các phần mềm độc hại (các malware) để chuyển chúng thành các “bot,” buộc chúng phải báo cáo về một máy chủ điều khiển trung tâm. Những thiết bị này có thể được sử dụng như một bàn đạp để phát động các cuộc tấn công DDoS đầy sức mạnh, được thiết kế để hạ gục các website.

Người dùng phát hành mã nguồn trên diễn đàn Hackforums, có nickname là “Anna-senpai”, nói với các thành viên diễn đàn rằng, việc mã nguồn được phát hành nhằm đáp ứng cho nhu cầu tăng cường kiểm tra kỹ lưỡng từ ngành công nghiệp bảo mật.

“Khi lần đầu tôi tham gia vào ngành công nghiệp DDoS, tôi không có kế hoạch để ở lại đó lâu.” Anna-senpai viết trên diễn đàn. “Tôi đã kiếm tiền cho mình, nhưng hiện có rất nhiều người đang nhìn vào ngành IoT, vì vậy giờ là lúc để tiết lộ tất cả. Hôm nay, tôi mang đến một bản phát hành tuyệt vời cho các bạn. Với Mirai, thường tôi kéo được tối đa 380k bot từ một telnet. Tuy nhiên, sau cuộc tấn công DDoS vào Krebs, các ISP (các nhà cung cấp mạng) đang từ từ giảm tốc độ mạng và làm sạch các các thiết bị của họ. Vì vậy, hôm nay, mức kéo tối đa chỉ đạt khoảng 300k bot, và đang giảm.”

Các nguồn tin cho KrebsOnSecurity biết rằng Mirai thuộc về ít nhất một trong hai gia đình malware, hiện đang được sử dụng để nhanh chóng lắp ghép thành các đội quân DDoS vô cùng lớn từ các thiết bị IoT. Một loại malware khác cũng đang thống trị trong thế giới IoT, được biết đến với tên Bashlight, có chức năng tương tự Mirai trong việc lây nhiễm đến các hệ thống thông qua những username và mật khẩu mặc định trên các thiết bị IoT.

Theo nghiên cứu từ hãng bảo mật Level3 Communications, mạng botnet Bashlight hiện đang chịu trách nhiệm cho việc khống chế gần một triệu thiết bị IoT và đang cạnh tranh trực tiếp với các mạng botnet dựa trên Mirai.

“Cả hai mạng botnet này đang tìm kiếm cùng loại thiết bị IoT, và trong nhiều trường hợp, trên cùng các thiết bị.” Dale Drew, giám đốc an ninh của Level3, cho biết.

Các hệ thống bị lây nhiễm có thể được làm sạch malware bằng cách khởi động lại chúng – do đó sẽ xóa sạch các mã độc hại khỏi bộ nhớ. Nhưng các chuyên gia cho rằng, hiện có quá nhiều malware đang quét những hệ thống dễ bị tổn thương đến nỗi, những thiết bị IoT này có thể bị nhiễm mã độc trở lại chỉ trong vòng vài phút sau khi khởi động lại. Chúng chỉ có thể tránh bị lây nhiễm lại một cách nhanh chóng bằng cách thay đổi mật khẩu bảo vệ mặc định.

Trong những ngày xảy ra cuộc tấn công DDoS kỷ lục 620 Gbps nhắm vào KrebsOnSecurity.com, nickname này đã xác nhận rằng cuộc tấn công này được phát động bởi một mạng botnet Mirai. Phân tích sơ bộ về băng thông của cuộc tấn công này cho thấy, có lẽ băng thông lớn nhất của cuộc tấn công đến từ phần được thiết kế để nó trông giống như các gói dữ liệu theo giao thức GRE (generic routing encapsulation: giao thức đóng gói định tuyến chung).

Giao thức liên lạc này được sử dụng để thiết lập một kết nối thẳng, điểm-điểm (point-to-point) giữa các điểm nút mạng. GRE cho phép chia sẻ dữ liệu giữa hai thiết bị ngang hàng, trong khi những thiết bị này vốn không thể chia sẻ dữ liệu thông bản thân mạng kết nối công cộng.

Một chuyên gia bảo mật giấu tên cho biết, anh đã thử kiểm tra mã nguồn của Mirai theo những gì nó được công bố trên diễn đàn Hackforums và xác nhận rằng nó có những phần mã chịu trách nhiệm phối hợp trong các cuộc tấn công qua giao thức GRE.

Vẫn chưa rõ tại sao anna-senpai phát hành mã nguồn của Mirai, nhưng dường như hành động này không nhằm mục đích tích cực: những kẻ tội phạm phát triển phần mềm độc hại thường công khai mã nguồn của mình, khi chúng nhận thấy các điều tra viên của cơ quan thực thi pháp luật và các hãng bảo mật bắt đầu đến gần mình. Công khai mã nguồn trực tuyến cho tất cả cùng xem và tải xuống sẽ đảm bảo rằng tác giả ban đầu của những dòng mã này không phải là người duy nhất sở hữu nó, khi các nhà chức trách đến gõ cửa nhà chúng với lệnh khám xét trên tay.

Có lẽ trong thời gian tới, sẽ có rất nhiều người dùng Internet phàn nàn việc việc tốc độ truy cập mạng của họ bị các ISP làm chậm lại. Điều này có thể là do một đợt tấn công qua mạng lưới các IoT đang lấn át băng thông của đường truyền mạng. Về mặt tích cực, nếu tốc độ mạng bị chậm lại, nó cũng có thể giúp giảm bớt số lượng hệ thống dễ bị tổn thương.

Tuy nhiên về phía ngược lại, đang có ngày càng nhiều các thiết bị IoT mới, bảo mật mặc định kém được kết nối Internet mỗi ngày. Hãng Gartner Inc. dự báo rằng 6,4 tỷ thiết bị có kết nối sẽ được sử dụng trên toàn cầu vào năm 2016, tăng 30% so với năm 2015, và sẽ đạt đến con số 20,8 tỷ thiết bị vào năm 2020. Gartner cũng ước tính, trong năm 2016, 5,5 triệu thiết bị mới được kết nối mỗi ngày.

GenK - Tham khảo krebsonsecurity