WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Botnet IoT Reaper đã lây nhiễm hơn một triệu hệ thống trên toàn cầu
Botnet Mirai, đánh sập mạng Internet tại phần lớn nước Mỹ và nhiều nơi khác được hơn một năm trước, đã cho thấy trước một tương lai ảm đạm của các thiết bị có kết nối. Nhưng Mirai tương đối đơn giản, đặc biệt là khi so sánh với mạng botnet mới đang ươm mầm.
Trong khi Mirai gây ra tình trạng ngừng hoạt động trên diện rộng, ảnh hưởng đến các camera IP và router bằng cách khai thác mật khẩu yếu hoặc mật khẩu mặc định. Mạng botnet mới đây nhất, được gọi là IoT Troop hoặc Reaper, đã phát triển chiến lược sử dụng kỹ thuật hacking phần mềm thực tế để đột nhập vào các thiết bị. Khác với Mirai tìm kiếm các cửa đã mở, Reaper chủ động cạy ổ khóa, và botnet này đã lây nhiễm thiết bị trên một hệ thống, tất nhiên chưa dừng lại ở đó.
Ngày 20/10, các nhà nghiên cứu của Qihoo 360 (Trung Quốc) và Check Point (Israel) đã chi tiết mạng botnet IoT mới, được xây dựng dựa trên code của Mirai, nhưng khác biệt then chốt: Thay vì chỉ đoán mật khẩu của thiết bị lây nhiễm, botnet mới sử dụng các lỗ hổng an ninh trong code của các thiết bị không an toàn, tấn công bằng một loạt công cụ phá hoại và sau đó tự lan rộng. Và trong khi Reaper chưa được sử dụng trong các cuộc tấn công từ chối dịch vụ mà Mirai và những người kế nhiệm đã thực hiện, các tính năng cải tiến có thể cho phép nó trở thành botnet lớn hơn – và nguy hiểm hơn – cả Mirai.
"Sự khác biệt chính ở đây là trong khi Mirai chỉ khai thác các thiết bị sử dụng mật khẩu mặc định, botnet mới khai thác nhiều lỗ hổng trong các thiết bị IoT khác nhau". “Reaper có nhiều khả năng hơn Mirai", Maya Horowitz, giám đốc nhóm nghiên cứu của Checkpoint cho biết. "Reaper sẽ dễ dàng sử dụng các thiết bị bị lây nhiễm”.
Mã độc Reaper gom các kỹ thuật tấn công IoT, bao gồm 9 kỹ thuật tấn công ảnh hưởng các router của D-Link, Netgear, và Linksys, cũng như camera giám sát kết nối Internet, kể cả những thiết bị được bán bởi các công ty như Vacron, GoAhead, và AVTech. Mặc dù nhiều thiết bị này có sẵn các bản vá lỗi, hầu hết người dùng không có thói quen vá router của gia đình, đừng nói tới các hệ thống camera giám sát.
Check Point phát hiện rằng 60% các hệ thống mà mình nghiên cứu bị nhiễm mã độc Reaper. Theo các nhà nghiên cứu của Qihoo 360, khoảng 10.000 thiết bị trong mạng botnet liên lạc hằng ngày với máy chủ C&C mà tin tặc điều khiển, và hàng triệu thiết bị đang “xếp hàng” chờ được nạp vào mạng botnet.
Theo Horowitz, những ai sợ rằng thiết bị của họ có khả năng bị phá hoại nên kiểm tra danh sách các thiết bị bị ảnh hưởng do Check Point thực hiện. Một phân tích lưu lượng IP từ những thiết bị này sẽ cho biết chúng có đang giao tiếp với máy chủ C&C của tin tặc hay không. Nhưng hầu hết người dùng không có phương tiện để thực hiện phân tích mạng. Bà gợi ý, nếu thiết bị của bạn nằm trong danh sách của Check Point, bạn nên cập nhật hoặc đưa máy về chế độ cài đặt gốc, điều này sẽ giúp loại bỏ mã độc.
Tuy nhiên, như thường lệ, người sở hữu thiết bị bị lây nhiễm không phải là người phải trả giá vì đã cho phép Reaper tồn tại và phát triển. Thay vào đó, nạn nhân thường là mục tiêu tiềm năng của mạng botnet đó một khi kẻ sở hữu botnet tiến hành tấn công DDoS. Trong trường hợp của Reaper, hàng triệu thiết bị mà nó lây nhiêm có thể là một nguy cơ nghiêm trọng: Mirai, theo McAfee là đã lây nhiễm 2,5 triệu thiết bị vào cuối năm 2016, đã có thể sử dụng những thiết bị này để tấn công tới tấp Dyn, nhà cung cấp dịch vụ DNS, với lưu lượng ngắt quãng đã loại bỏ các mục tiêu lớn khỏi mạng Internet vào tháng 10 năm ngoái, bao gồm Spotify, Reddit và New York Times.
Reaper chưa cho thấy dấu hiệu của bất kỳ hoạt động DDoS, theo Qihoo 360 và Check Point. Nhưng mã độc này bao gồm một nền tảng phần mềm dựa trên Lua, cho phép module mã mới được tải xuống để lây nhiễm thiết bị. Điều đó có nghĩa là nó có thể thay đổi chiến thuật của nó bất cứ lúc nào để trang bị vũ khí cho các router và camera đã lây nhiễm.
Horowitz chỉ ra các thiết bị như camera IP được tội phạm mạng sử dụng không gì khác ngoài tấn công DDoS, mặc dù động lực cho bất kỳ cuộc tấn công DDoS như vậy vẫn chưa rõ ràng.
"Chúng tôi không biết nếu họ muốn tạo ra hỗn loạn toàn cầu, hay họ có một số mục tiêu cụ thể, hoặc ngành công nghiệp mà họ muốn loại bỏ?" Horowitz cho biết.
Tất cả những điều này bổ sung cho vấn đề: Chủ sở hữu các thiết bị IoT đang chạy đua với kẻ sở hữu mạng botnet để loại bỏ mã độc khỏi thiết bị nhanh hơn tốc độ lây lan của malware, với những hậu quả tiềm ẩn nghiêm trọng cho các mục tiêu DDoS dễ bị tổn thương trên toàn thế giới. Và vì Reaper có những công cụ phức tạp hơn Mirai, các cuộc tấn công sắp diễn ra có thể nguy hiểm hơn cuộc tấn công lần trước.
Trong khi Mirai gây ra tình trạng ngừng hoạt động trên diện rộng, ảnh hưởng đến các camera IP và router bằng cách khai thác mật khẩu yếu hoặc mật khẩu mặc định. Mạng botnet mới đây nhất, được gọi là IoT Troop hoặc Reaper, đã phát triển chiến lược sử dụng kỹ thuật hacking phần mềm thực tế để đột nhập vào các thiết bị. Khác với Mirai tìm kiếm các cửa đã mở, Reaper chủ động cạy ổ khóa, và botnet này đã lây nhiễm thiết bị trên một hệ thống, tất nhiên chưa dừng lại ở đó.
Ngày 20/10, các nhà nghiên cứu của Qihoo 360 (Trung Quốc) và Check Point (Israel) đã chi tiết mạng botnet IoT mới, được xây dựng dựa trên code của Mirai, nhưng khác biệt then chốt: Thay vì chỉ đoán mật khẩu của thiết bị lây nhiễm, botnet mới sử dụng các lỗ hổng an ninh trong code của các thiết bị không an toàn, tấn công bằng một loạt công cụ phá hoại và sau đó tự lan rộng. Và trong khi Reaper chưa được sử dụng trong các cuộc tấn công từ chối dịch vụ mà Mirai và những người kế nhiệm đã thực hiện, các tính năng cải tiến có thể cho phép nó trở thành botnet lớn hơn – và nguy hiểm hơn – cả Mirai.
"Sự khác biệt chính ở đây là trong khi Mirai chỉ khai thác các thiết bị sử dụng mật khẩu mặc định, botnet mới khai thác nhiều lỗ hổng trong các thiết bị IoT khác nhau". “Reaper có nhiều khả năng hơn Mirai", Maya Horowitz, giám đốc nhóm nghiên cứu của Checkpoint cho biết. "Reaper sẽ dễ dàng sử dụng các thiết bị bị lây nhiễm”.
Mã độc Reaper gom các kỹ thuật tấn công IoT, bao gồm 9 kỹ thuật tấn công ảnh hưởng các router của D-Link, Netgear, và Linksys, cũng như camera giám sát kết nối Internet, kể cả những thiết bị được bán bởi các công ty như Vacron, GoAhead, và AVTech. Mặc dù nhiều thiết bị này có sẵn các bản vá lỗi, hầu hết người dùng không có thói quen vá router của gia đình, đừng nói tới các hệ thống camera giám sát.
Check Point phát hiện rằng 60% các hệ thống mà mình nghiên cứu bị nhiễm mã độc Reaper. Theo các nhà nghiên cứu của Qihoo 360, khoảng 10.000 thiết bị trong mạng botnet liên lạc hằng ngày với máy chủ C&C mà tin tặc điều khiển, và hàng triệu thiết bị đang “xếp hàng” chờ được nạp vào mạng botnet.
Theo Horowitz, những ai sợ rằng thiết bị của họ có khả năng bị phá hoại nên kiểm tra danh sách các thiết bị bị ảnh hưởng do Check Point thực hiện. Một phân tích lưu lượng IP từ những thiết bị này sẽ cho biết chúng có đang giao tiếp với máy chủ C&C của tin tặc hay không. Nhưng hầu hết người dùng không có phương tiện để thực hiện phân tích mạng. Bà gợi ý, nếu thiết bị của bạn nằm trong danh sách của Check Point, bạn nên cập nhật hoặc đưa máy về chế độ cài đặt gốc, điều này sẽ giúp loại bỏ mã độc.
Tuy nhiên, như thường lệ, người sở hữu thiết bị bị lây nhiễm không phải là người phải trả giá vì đã cho phép Reaper tồn tại và phát triển. Thay vào đó, nạn nhân thường là mục tiêu tiềm năng của mạng botnet đó một khi kẻ sở hữu botnet tiến hành tấn công DDoS. Trong trường hợp của Reaper, hàng triệu thiết bị mà nó lây nhiêm có thể là một nguy cơ nghiêm trọng: Mirai, theo McAfee là đã lây nhiễm 2,5 triệu thiết bị vào cuối năm 2016, đã có thể sử dụng những thiết bị này để tấn công tới tấp Dyn, nhà cung cấp dịch vụ DNS, với lưu lượng ngắt quãng đã loại bỏ các mục tiêu lớn khỏi mạng Internet vào tháng 10 năm ngoái, bao gồm Spotify, Reddit và New York Times.
Reaper chưa cho thấy dấu hiệu của bất kỳ hoạt động DDoS, theo Qihoo 360 và Check Point. Nhưng mã độc này bao gồm một nền tảng phần mềm dựa trên Lua, cho phép module mã mới được tải xuống để lây nhiễm thiết bị. Điều đó có nghĩa là nó có thể thay đổi chiến thuật của nó bất cứ lúc nào để trang bị vũ khí cho các router và camera đã lây nhiễm.
Horowitz chỉ ra các thiết bị như camera IP được tội phạm mạng sử dụng không gì khác ngoài tấn công DDoS, mặc dù động lực cho bất kỳ cuộc tấn công DDoS như vậy vẫn chưa rõ ràng.
"Chúng tôi không biết nếu họ muốn tạo ra hỗn loạn toàn cầu, hay họ có một số mục tiêu cụ thể, hoặc ngành công nghiệp mà họ muốn loại bỏ?" Horowitz cho biết.
Tất cả những điều này bổ sung cho vấn đề: Chủ sở hữu các thiết bị IoT đang chạy đua với kẻ sở hữu mạng botnet để loại bỏ mã độc khỏi thiết bị nhanh hơn tốc độ lây lan của malware, với những hậu quả tiềm ẩn nghiêm trọng cho các mục tiêu DDoS dễ bị tổn thương trên toàn thế giới. Và vì Reaper có những công cụ phức tạp hơn Mirai, các cuộc tấn công sắp diễn ra có thể nguy hiểm hơn cuộc tấn công lần trước.
Theo Wired
Chỉnh sửa lần cuối: