Mã nguồn của Mirai - mạng lưới lợi dụng các thiết bị IoT để tấn công từ chối dịch vụ vừa được công bố
13:34 | 26/10/2016 | LỖ HỔNG ATTT
Một tin tặc vừa công bố mã nguồn cho phép những người có trình độ không cao cũng có thể thực hiện các cuộc tấn công từ chối dịch vụ quy mô lớn, thông qua mạng lưới các thiết bị IoT.
Chuyên gia nổi tiếng Brian Krebs vừa cho biết mã nguồn của “Mirai" - mạng lưới các máy quay kết nối Internet và các thiết bị "Internet of things" khác bị lợi dụng để tấn công từ chối dịch vụ đã được công bố.
Dale Drew, giám đốc an ninh của Level 3 Communications, một nhà cung cấp đường trục chính của Internet, nói rằng Mirai là một trong hai botnet IoT thực hiện các cuộc tấn công từ chối dịch vụ quy mô lớn với thông lượng kỷ lục, làm chấn động Internet, trong đó bao gồm cả cuộc tấn công KrebsOnSecurity với thông lượng 620 gigabit/giây và cuộc tấn công dịch vụ webhost OVH của Pháp với thông lượng cao nhất là 1 terabit/giây.
Được trang bị với công nghệ mới, tinh vi hơn nhưng Mirai mới chỉ chiếm quyền điều khiển của 233 ngàn thiết bị (so với con số vượt trội 963 ngàn thiết bị của botnet Bashlight). Mirai mới được nhà cung cấp giải pháp diệt virus Dr. Web của Nga mô tả sơ bộ vào cuối tháng 9, nhưng mạng lưới này sẽ nhanh chóng chiếm vai trò chủ đạo và tạo ra những kỷ lục mới.
Theo ông Drew, đang có sự cạnh tranh quyết liệt giữa những kẻ vận hành các botnet trong việc tìm kiếm và lợi dụng các thiết bị IoT. Chúng thường tấn công từ chối dịch vụ để đòi tiền và lợi nhuận cao cho phép chúng tăng cường khả năng kỹ thuật của mình. Công bố mã nguồn sẽ tạo ra một đợt sóng mới trong việc tấn công những thiết bị IoT. Những kẻ vận hành botnet đang nóng lòng tìm kiếm những phương thức tấn công mới để chiếm quyền kiểm soát ngày càng nhiều những thiết bị IoT.
Cả Mirai và Bashlight hiện đang lợi dụng cùng một số lỗ hổng bảo mật, trong đó phần lớn là các điểm yếu của giao thức kết nối từ xa của các thiết bị chạy Linux nhúng. Tuy nhiên, khác với Bashlight, phần mềm của Mirai mã hoá thông tin trao đổi giữa các thiết bị và máy chủ điều khiển. Điều này khiến cho các nhà nghiên cứu rất khó theo dõi các mạng lưới mã độc.
Đã có những bằng chứng cho thấy Mirai có khả năng chiếm quyền kiểm soát các thiết bị đã lây Bashlight và thậm chí vá lỗi để chúng không thể bị mạng lưới thù địch chiếm lại. Khoảng 80 ngàn trong số 963 ngàn thiết bị nhiễm Bashlight đã trở thành “chiến lợi phẩm” của những kẻ vận hành Mirai.
Cho tới nay, Level 3 đã xác định được các IP camera do Dahua sản xuất là một trong những thiết bị bị lợi dụng để tạo nên các botnet nhiều nhất. Công ty này cũng cho biết, một dòng thiết bị ghi hình số dùng định dạng H.264 cũng khá phổ biến trong các botnet IoT, dù chưa rõ nhà sản xuất. Ông Drew nói rằng, trong tất cả các trường hợp, các thiết bị ghi hình đều có vẻ đang hoạt động, dù chúng đang bị kẻ xấu lợi dụng để tấn công từ chối dịch vụ.
Dale Drew, giám đốc an ninh của Level 3 Communications, một nhà cung cấp đường trục chính của Internet, nói rằng Mirai là một trong hai botnet IoT thực hiện các cuộc tấn công từ chối dịch vụ quy mô lớn với thông lượng kỷ lục, làm chấn động Internet, trong đó bao gồm cả cuộc tấn công KrebsOnSecurity với thông lượng 620 gigabit/giây và cuộc tấn công dịch vụ webhost OVH của Pháp với thông lượng cao nhất là 1 terabit/giây.
Được trang bị với công nghệ mới, tinh vi hơn nhưng Mirai mới chỉ chiếm quyền điều khiển của 233 ngàn thiết bị (so với con số vượt trội 963 ngàn thiết bị của botnet Bashlight). Mirai mới được nhà cung cấp giải pháp diệt virus Dr. Web của Nga mô tả sơ bộ vào cuối tháng 9, nhưng mạng lưới này sẽ nhanh chóng chiếm vai trò chủ đạo và tạo ra những kỷ lục mới.
Theo ông Drew, đang có sự cạnh tranh quyết liệt giữa những kẻ vận hành các botnet trong việc tìm kiếm và lợi dụng các thiết bị IoT. Chúng thường tấn công từ chối dịch vụ để đòi tiền và lợi nhuận cao cho phép chúng tăng cường khả năng kỹ thuật của mình. Công bố mã nguồn sẽ tạo ra một đợt sóng mới trong việc tấn công những thiết bị IoT. Những kẻ vận hành botnet đang nóng lòng tìm kiếm những phương thức tấn công mới để chiếm quyền kiểm soát ngày càng nhiều những thiết bị IoT.
Cả Mirai và Bashlight hiện đang lợi dụng cùng một số lỗ hổng bảo mật, trong đó phần lớn là các điểm yếu của giao thức kết nối từ xa của các thiết bị chạy Linux nhúng. Tuy nhiên, khác với Bashlight, phần mềm của Mirai mã hoá thông tin trao đổi giữa các thiết bị và máy chủ điều khiển. Điều này khiến cho các nhà nghiên cứu rất khó theo dõi các mạng lưới mã độc.
Đã có những bằng chứng cho thấy Mirai có khả năng chiếm quyền kiểm soát các thiết bị đã lây Bashlight và thậm chí vá lỗi để chúng không thể bị mạng lưới thù địch chiếm lại. Khoảng 80 ngàn trong số 963 ngàn thiết bị nhiễm Bashlight đã trở thành “chiến lợi phẩm” của những kẻ vận hành Mirai.
Cho tới nay, Level 3 đã xác định được các IP camera do Dahua sản xuất là một trong những thiết bị bị lợi dụng để tạo nên các botnet nhiều nhất. Công ty này cũng cho biết, một dòng thiết bị ghi hình số dùng định dạng H.264 cũng khá phổ biến trong các botnet IoT, dù chưa rõ nhà sản xuất. Ông Drew nói rằng, trong tất cả các trường hợp, các thiết bị ghi hình đều có vẻ đang hoạt động, dù chúng đang bị kẻ xấu lợi dụng để tấn công từ chối dịch vụ.
