WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Phát hiện botnet khổng lồ gồm 500.000 router
Bộ phận nghiên cứu tình báo mạng Talos của Cisco đã phát hiện một malware botnet các thiết bị IoT, có tên VPNFilter, được thiết kế với khả năng linh hoạt có thể thu thập thông tin tình báo, can thiệp vào quá trình liên lạc internet, cũng như tiến hành các hoạt động tấn công mạng phá hoại.
VPNFilter có thể đánh cắp thông tin đăng nhập của trang web và theo dõi các hệ thống điều khiển công nghiệp hoặc SCADA, như hệ thống lưới điện, cơ sở hạ tầng và nhà máy khác.
VPNFilter liên lạc qua mạng ẩn danh Tor và thậm chí có chứa một killswitch (công tắc) cho các bộ định tuyến để tự diệt chính mình.
Trong khi hầu hết các malware khác nhắm vào các thiết bị IOT, trong giai đoạn đầu, VPNFilter vẫn tồn tại kể cả khi reset lại thiết bị bị lây nhiễm và cho phép chạy malware ở bước thứ hai.
VPNFilter được đặt tên theo một thư mục (/var/run/vpnfilterw) mà malware này tạo ra để ẩn các file của nó trên thiết bị bị lây nhiễm.
Vì quá trình nghiên cứu vẫn đang tiếp diễn, các nhà nghiên cứu tại trung tâm Talos "chưa có bằng chứng rõ ràng về cách malware này khai thác các thiết bị bị ảnh hưởng", nhưng họ tin rằng VPNFilter không khai thác bất kỳ lỗ hổng zero-day nào để lây nhiễm các thiết bị.
Thay vào đó, malware này nhắm mục tiêu vào các thiết bị tồn tại các lỗ hổng đã công khai và được nhiều người biết đến hoặc có thông tin đăng nhập mặc định, giúp cho việc tương thích trở nên đơn giản.
Các nhà nghiên cứu Talos tin tưởng rằng chính phủ Nga đang đứng đằng sau VPNFilter vì mã độc này có nhiều điểm tương đồng với các phiên bản BlackEnergy – một malware tấn công vào nhiều thiết bị ở Ukraine trên diện rộng mà chính phủ Mỹ cáo buộc Nga có liên quan.
Mặc dù đã phát hiện các thiết bị bị lây nhiễm VPNFilter tại hơn 54 quốc gia, các nhà nghiên cứu tin rằng tin tặc đang nhắm mục tiêu cụ thể đến Ukraine, sau một đợt lây nhiễm cao điểm xảy ra tại quốc gia này ngày 8/5 vừa qua.
Theo bài blog của chuyên gia William Largent từ Talos, "Malware có đặc tính phá hoại làm cho thiết bị bị lây nhiễm không thể sử dụng được, có thể được kích hoạt trên các máy tính cá nhân hoặc từ một loạt máy, và có khả năng chặn hàng trăm nghìn nạn nhân trên toàn thế giới truy cập internet”.
Các nhà nghiên cứu cho biết họ công bố những phát hiện của mình trước khi hoàn thành nghiên cứu, do lo ngại về một cuộc tấn công sắp tới có thể xảy ra tại Ukraine, vốn là nạn nhân của nhiều tấn công mạng từ Nga, bao gồm tấn công gây mất điện trên diện rộng và NotPetya.
Nếu router của bạn đã bị nhiễm malware này, hãy reset lại về chế độ mặc định ban đầu để diệt malware và cập nhật firmware càng sớm càng tốt.
Bạn cần cẩn trọng hơn về vấn đề bảo mật của các thiết bị IoT thông minh. Để phòng chống lại các cuộc tấn công tương tự, bạn nên thay đổi thông tin đăng nhập mặc định trên thiết bị của mình.
Nếu router của bạn có nguy cơ bị tấn công trong khi lại không thể cập nhật, đơn giản nhất là mua 1 router mới. Bảo mật và quyền riêng tư của bạn đáng giá hơn nhiều giá trị của một chiếc router.
Ngoài ra, bảo vệ router bằng tường lửa và tắt tính năng quản trị từ xa trừ khi bạn thực sự cần dùng đến.
Theo Hackernews
