Mã nguồn malware đã làm nên cuộc tấn công DDoS kỷ lục 1 1 Tbs vừa được công khai

26/06/2018

Rất có thể sắp tới sẽ còn nhiều cuộc tấn công khác tương tự như vậy được thực hiện.

Mã nguồn cung cấp sức mạnh cho mạng botnet của các thiết bị Internet of Things (IoT), vốn chịu trách nhiệm cho cuộc tấn công từ chối dịch vụ DDoS lớn nhất lịch sử nhắm vào KrebsOnSecurity tháng trước, đã được phát hành công khai. Rất có thể chỉ trong thời gian ngắn sắp tới, tữ mã nguồn này, Internet sẽ tràn ngập các cuộc tấn công từ hàng loạt mạng botnet mới, với các thiết bị định tuyến, các camera an ninh, các máy video kỹ thuật số và các thiết bị dễ bị xâm nhập khác.

Mã nguồn này được rò rỉ vào thứ Sáu vừa qua trên cộng đồng hacking bằng tiếng Anh, Hackforums. Phần mềm độc hại này, được đặt tên là “Mirai,” lây lan đến các thiết bị dễ bị tổn thương bằng cách liên tục quét mạng Internet cho các hệ thống IoT, vốn được bảo vệ bởi các chế độ mặc định từ nhà sản xuất hoặc bằng thông tin user name và mật khẩu mã hóa.

Bài đăng của Anna-Senpai trên diễn đàn Hackforums, trong đó có đường link để tải mã nguồn của Mirai.

Bài đăng của Anna-Senpai trên diễn đàn Hackforums, trong đó có đường link để tải mã nguồn của Mirai.

Các thiết bị dễ tấn công sau đó sẽ được “gieo” vào đó các phần mềm độc hại (các malware) để chuyển chúng thành các “bot,” buộc chúng phải báo cáo về một máy chủ điều khiển trung tâm. Những thiết bị này có thể được sử dụng như một bàn đạp để phát động các cuộc tấn công DDoS đầy sức mạnh, được thiết kế để hạ gục các website.

Người dùng phát hành mã nguồn trên diễn đàn Hackforums, có nickname là “Anna-senpai”, nói với các thành viên diễn đàn rằng, việc mã nguồn được phát hành nhằm đáp ứng cho nhu cầu tăng cường kiểm tra kỹ lưỡng từ ngành công nghiệp bảo mật.

Khi lần đầu tôi tham gia vào ngành công nghiệp DDoS, tôi không có kế hoạch để ở lại đó lâu.” Anna-senpai viết trên diễn đàn. “Tôi đã kiếm tiền cho mình, nhưng hiện có rất nhiều người đang nhìn vào ngành IoT, vì vậy giờ là lúc để tiết lộ tất cả. Hôm nay, tôi mang đến một bản phát hành tuyệt vời cho các bạn. Với Mirai, thường tôi kéo được tối đa 380k bot từ một telnet. Tuy nhiên, sau cuộc tấn công DDoS vào Krebs, các ISP (các nhà cung cấp mạng) đang từ từ giảm tốc độ mạng và làm sạch các các thiết bị của họ. Vì vậy, hôm nay, mức kéo tối đa chỉ đạt khoảng 300k bot, và đang giảm.”

Các nguồn tin cho KrebsOnSecurity biết rằng Mirai thuộc về ít nhất một trong hai gia đình malware, hiện đang được sử dụng để nhanh chóng lắp ghép thành các đội quân DDoS vô cùng lớn từ các thiết bị IoT. Một loại malware khác cũng đang thống trị trong thế giới IoT, được biết đến với tên Bashlight, có chức năng tương tự Mirai trong việc lây nhiễm đến các hệ thống thông qua những username và mật khẩu mặc định trên các thiết bị IoT.

Theo nghiên cứu từ hãng bảo mật Level3 Communications, mạng botnet Bashlight hiện đang chịu trách nhiệm cho việc khống chế gần một triệu thiết bị IoT và đang cạnh tranh trực tiếp với các mạng botnet dựa trên Mirai.

Cả hai mạng botnet này đang tìm kiếm cùng loại thiết bị IoT, và trong nhiều trường hợp, trên cùng các thiết bị.” Dale Drew, giám đốc an ninh của Level3, cho biết.

Các hệ thống bị lây nhiễm có thể được làm sạch malware bằng cách khởi động lại chúng – do đó sẽ xóa sạch các mã độc hại khỏi bộ nhớ. Nhưng các chuyên gia cho rằng, hiện có quá nhiều malware đang quét những hệ thống dễ bị tổn thương đến nỗi, những thiết bị IoT này có thể bị nhiễm mã độc trở lại chỉ trong vòng vài phút sau khi khởi động lại. Chúng chỉ có thể tránh bị lây nhiễm lại một cách nhanh chóng bằng cách thay đổi mật khẩu bảo vệ mặc định.

Trong những ngày xảy ra cuộc tấn công DDoS kỷ lục 620 Gbps nhắm vào KrebsOnSecurity.com, nickname này đã xác nhận rằng cuộc tấn công này được phát động bởi một mạng botnet Mirai. Phân tích sơ bộ về băng thông của cuộc tấn công này cho thấy, có lẽ băng thông lớn nhất của cuộc tấn công đến từ phần được thiết kế để nó trông giống như các gói dữ liệu theo giao thức GRE (generic routing encapsulation: giao thức đóng gói định tuyến chung).

Giao thức liên lạc này được sử dụng để thiết lập một kết nối thẳng, điểm-điểm (point-to-point) giữa các điểm nút mạng. GRE cho phép chia sẻ dữ liệu giữa hai thiết bị ngang hàng, trong khi những thiết bị này vốn không thể chia sẻ dữ liệu thông bản thân mạng kết nối công cộng.

Một chuyên gia bảo mật giấu tên cho biết, anh đã thử kiểm tra mã nguồn của Mirai theo những gì nó được công bố trên diễn đàn Hackforums và xác nhận rằng nó có những phần mã chịu trách nhiệm phối hợp trong các cuộc tấn công qua giao thức GRE.

Vẫn chưa rõ tại sao anna-senpai phát hành mã nguồn của Mirai, nhưng dường như hành động này không nhằm mục đích tích cực: những kẻ tội phạm phát triển phần mềm độc hại thường công khai mã nguồn của mình, khi chúng nhận thấy các điều tra viên của cơ quan thực thi pháp luật và các hãng bảo mật bắt đầu đến gần mình. Công khai mã nguồn trực tuyến cho tất cả cùng xem và tải xuống sẽ đảm bảo rằng tác giả ban đầu của những dòng mã này không phải là người duy nhất sở hữu nó, khi các nhà chức trách đến gõ cửa nhà chúng với lệnh khám xét trên tay.

Có lẽ trong thời gian tới, sẽ có rất nhiều người dùng Internet phàn nàn việc việc tốc độ truy cập mạng của họ bị các ISP làm chậm lại. Điều này có thể là do một đợt tấn công qua mạng lưới các IoT đang lấn át băng thông của đường truyền mạng. Về mặt tích cực, nếu tốc độ mạng bị chậm lại, nó cũng có thể giúp giảm bớt số lượng hệ thống dễ bị tổn thương.

Tuy nhiên về phía ngược lại, đang có ngày càng nhiều các thiết bị IoT mới, bảo mật mặc định kém được kết nối Internet mỗi ngày. Hãng Gartner Inc. dự báo rằng 6,4 tỷ thiết bị có kết nối sẽ được sử dụng trên toàn cầu vào năm 2016, tăng 30% so với năm 2015, và sẽ đạt đến con số 20,8 tỷ thiết bị vào năm 2020. Gartner cũng ước tính, trong năm 2016, 5,5 triệu thiết bị mới được kết nối mỗi ngày.

GenK - Tham khảo krebsonsecurity

 

Tin liên quan

06/12/2021

Viettel IDC thông báo mời tham gia đề xuất Tháng 12/2021

Công ty TNHH Viettel – CHT (Viettel IDC) có nhu cầu Thanh lý các thiết bị. Kính mời Quý Công ty tham gia đề xuất phương án thu mua hàng thanh lý.

29/11/2021

Webinar: Xây dựng, bảo mật nền tảng điện toán đám mây - Cơ sở hạ tầng quan trọng trong chuyển đổi số

Trong khuôn khổ Dự án “Chuyển đổi số cho doanh nghiệp trong bối cảnh Cách mạng công nghiệp 4.0”, Phòng Thương mại và Công nghiệp Việt Nam (VCCI) phối hợp với Viettel IDC và Akamai Technologies tổ chức hội thảo trực tuyến.

12/11/2021

​Viettel IDC hoàn thành đánh giá chứng nhận ISO/IEC 20000-1:2018 về quản lý dịch vụ CNTT

Tháng 10/2021, Viettel IDC đã chính thức hoàn thành và được TÜV Rheinland cấp chứng nhận ISO/IEC 20000-1:2018 – tiêu chuẩn toàn cầu mô tả các yêu cầu đối với hệ thống quản lý dịch vụ công nghệ thông tin (ITSM).

25/10/2021

Webinar: Bứt tốc chuyển đổi số hậu Covid-19 với Hybrid Cloud

Trong những năm gần đây, Hybrid Cloud đã không còn là một thuật ngữ xa lạ đối với các doanh nghiệp trong cuộc đua chuyển đổi số. Là sự kết hợp giữa Public Cloud và Private Cloud hoặc hạ tầng data center sẵn có, mô hình Hybrid Cloud được xem là sự lựa chọn ưu việt và linh hoạt nhất, cho phép doanh nghiệp xây dựng một giải pháp tùy chỉnh, đáp ứng với nhu cầu phát triển thực tế tại từng thời điểm.

23/09/2021

Webinar: AI và Bảo mật trong Chuyển đổi số ngành BFSI

Chuyển đổi số là xu thế tất yếu trong tất cả các lĩnh vực, tuy nhiên trong hành trình chuyển đổi đó chắc chắn các tổ chức sẽ gặp phải những khó khăn thách thức về cơ sở hạ tầng, kết nối, ứng dụng công nghệ.

16/09/2021

Viettel IDC chính thức có mặt trên Zalo

Với mục tiêu hỗ trợ người dùng đa kênh, đa nền tảng và mong muốn kết nối nhanh nhất đến các Quý khách hàng, Viettel IDC chính thức có mặt trên nền tảng mạng xã hội Zalo từ 15/09/2021.

26/08/2021

Trung tâm dữ liệu Viettel IDC đạt Giải Vàng tại Giải thưởng Kinh doanh quốc tế IBA Stevie Awards (IBA)

Tại giải thưởng IBA năm nay, Trung tâm dữ liệu của Viettel IDC được đánh giá và trao giải Vàng cho hạng mục Đơn vị cung cấp cơ sở hạ tầng tốt nhất.

20/08/2021

Sản phẩm chuyển đổi số giúp Viettel có năm thành công nhất tại IBA 2021

Năm 2021, Tập đoàn Công nghiệp - Viễn thông Quân đội (Viettel) có 22 giải thưởng tại Giải thưởng Kinh doanh Quốc tế (IBA), gấp 4,4 lần so với năm 2020, chiếm gần một nửa số giải mà 13 doanh nghiệp Việt Nam tham dự đạt được

14/07/2021

Trung tâm dữ liệu đạt giải IT World Awards của Viettel IDC chuẩn quốc tế như thế nào?

Viettel IDC Data center – Hệ thống trung tâm dữ liệu Viettel IDC giành giải Bạc hạng mục Data center Infrastructure Management – Giải thưởng CNTT thế giới IT World Awards 2021.

09/07/2021

Viettel là doanh nghiệp Việt Nam đạt nhiều giải thưởng nhất tại IT World Awards 2021

QĐND Online - Ngày 8-7, theo công bố chính thức của ban tổ chức Giải thưởng Công nghệ thông tin Thế giới - IT World Awards 2021, Viettel là doanh nghiệp Việt Nam đạt nhiều giải thưởng nhất tại Giải thưởng Công nghệ thông tin thế giới - IT World Awards 2021.

// doi link