Bài học rút ra chính
- Các chuyên gia bảo mật đã phát hiện ra một phần mềm độc hại mới tấn công các thiết bị có kết nối internet như bộ định tuyến và camera an ninh để kết nối chúng thành một mạng botnet.
- Tác giả của phần mềm độc hại luôn tìm cách đột nhập vào các thiết bị tiếp xúc với Internet để sử dụng chúng cho mọi mục đích bất chính, các chuyên gia cảnh báo.
-
Các chuyên gia khuyên mọi người có thể ngăn chặn các cuộc tấn công như vậy bằng cách cài đặt các bản vá bảo mật không chậm trễ và sử dụng các sản phẩm chống phần mềm độc hại được cập nhật đầy đủ.
Sự bùng nổ của các thiết bị thông minh có kết nối Internet không được giám sát và không được giám sát không chỉ khiến chủ sở hữu của chúng gặp rủi ro mà còn có thể được sử dụng để đánh sập các trang web và dịch vụ phổ biến.
Các nhà nghiên cứu gần đây đã phát hiện ra một loại phần mềm độc hại mới đang tấn công các lỗ hổng bảo mật trong một số bộ định tuyến. Sau khi bị lây nhiễm, các bộ định tuyến bị xâm nhập sẽ được định tuyến bên trong các mạng botnet độc hại mà tội phạm mạng sử dụng để tấn công một trang web hoặc dịch vụ trực tuyến có lưu lượng truy cập rác và làm chúng ngừng hoạt động. Đây được gọi là cuộc tấn công từ chối dịch vụ (DDoS) phân tán theo cách nói của an ninh mạng.
"Thật không may, có quá nhiều hệ thống được bảo vệ kém có thể dễ dàng bị đồng ý tham gia vào các cuộc tấn công này", Ryan Thomas, Phó Giám đốc Quản lý Sản phẩm của nhà cung cấp giải pháp an ninh mạng LogicHub, nói với Lifewire qua email. "Chìa khóa cho người dùng cuối không phải là một trong những mục tiêu dễ dàng này."
We Are the Borg
Các nhà nghiên cứu tại công ty an ninh mạng Fortinet đã tìm thấy một biến thể mới của phần mềm độc hại định tuyến mạng botnet phổ biến đã học được các thủ thuật mới để đồng hóa các bộ định tuyến của người tiêu dùng. Theo quan sát của họ, những kẻ xấu đằng sau mạng botnet Beastmode (hay còn gọi là B3astmode) đã "tích cực cập nhật kho vũ khí khai thác", bổ sung tổng cộng 5 cách khai thác mới, với 3 trong số chúng tấn công các lỗ hổng trong bộ định tuyến Totolink.
Đáng chú ý, sự phát triển này được đưa ra ngay sau khi Totolink phát hành bản cập nhật firmware để sửa ba lỗ hổng nghiêm trọng. Vì vậy, trong khi các lỗ hổng bảo mật đã được vá, những kẻ tấn công đang đặt cược vào thực tế là nhiều người dùng mất thời gian trước khi cập nhật chương trình cơ sở trên thiết bị của họ và một số không bao giờ làm như vậy.
Mạng botnet Beastmode mượn mã của nó từ botnet Mirai rất mạnh. Trước khi bị bắt vào năm 2018, các nhà điều hành mạng botnet Mirai đã mở nguồn mã của mạng botnet chết người của họ, cho phép tội phạm mạng khác như Beastmode sao chép nó và sử dụng các tính năng mới để khai thác nhiều thiết bị hơn.
Theo Fortinet, ngoài Totolink, phần mềm độc hại Beastmode còn nhắm vào các lỗ hổng trong một số bộ định tuyến D-Link, camera IP TP-Link, thiết bị ghi video mạng của Nuuo, cũng như các sản phẩm Giám sát ReadyNAS của Netgear. Đáng lo ngại là một số sản phẩm D-Link được nhắm mục tiêu đã ngừng sản xuất và sẽ không nhận được bản cập nhật bảo mật từ công ty, khiến chúng dễ bị tấn công.
"Một khi các thiết bị bị lây nhiễm bởi Beastmode, các nhà điều hành mạng botnet có thể được sử dụng để thực hiện một loạt các cuộc tấn công DDoS thường thấy trong các mạng botnet dựa trên Mirai khác", các nhà nghiên cứu viết.
Các nhà khai thác botnet kiếm tiền bằng cách hawking botnet của họ được tạo thành từ vài nghìn thiết bị bị xâm nhập cho tội phạm mạng khác hoặc họ có thể tự khởi động các cuộc tấn công DDoS, sau đó yêu cầu nạn nhân đòi tiền chuộc để chấm dứt các cuộc tấn công. Theo Imperva, các cuộc tấn công DDoS đủ mạnh để làm tê liệt một trang web trong nhiều ngày có thể được mua với giá chỉ $ 5 / giờ.
Bộ định tuyến và hơn thế nữa
Trong khi Fortinet đề nghị mọi người áp dụng các bản cập nhật bảo mật cho tất cả các thiết bị kết nối internet của họ mà không bị chậm trễ, Thomas cho rằng mối đe dọa không chỉ giới hạn ở các thiết bị như bộ định tuyến và các thiết bị Internet of Things (IoT) khác như màn hình trẻ em và camera an ninh gia đình.
"Phần mềm độc hại ngày càng trở nên quỷ quyệt và khôn khéo hơn trong việc chuyển hệ thống của người dùng cuối trở thành một phần của mạng botnet", Thomas chỉ ra. Ông đề xuất rằng tất cả người dùng PC nên đảm bảo các công cụ chống phần mềm độc hại của họ luôn được cập nhật. Hơn nữa, mọi người nên làm mọi thứ có thể để tránh các trang web đáng ngờ cũng như các cuộc tấn công lừa đảo.
Theo TrendMicro, kết nối internet chậm bất thường là một trong những dấu hiệu của bộ định tuyến bị xâm nhập. Nhiều botnet cũng thay đổi thông tin đăng nhập của thiết bị bị xâm nhập, vì vậy nếu bạn không thể đăng nhập vào thiết bị được kết nối internet của mình bằng thông tin đăng nhập hiện có (và bạn chắc chắn rằng mình không nhập sai mật khẩu), thì khả năng cao là phần mềm độc hại đã xâm nhập vào thiết bị của bạn và thay đổi chi tiết đăng nhập của nó.
Khi nói đến máy tính lây nhiễm phần mềm độc hại, Thomas cho biết người tiêu dùng nên tạo thói quen theo dõi việc sử dụng CPU trong hệ thống của họ định kỳ. Điều này là do nhiều mạng botnet cũng bao gồm phần mềm độc hại đào tiền mã hóa để đánh cắp và sử dụng bộ xử lý máy tính của bạn để khai thác tiền điện tử.
"Nếu hệ thống của bạn chạy nhanh mà không có kết nối rõ ràng, đây có thể là dấu hiệu cho thấy nó là một phần của mạng botnet", Thomas cảnh báo. "Vì vậy, khi bạn không sử dụng máy tính xách tay của mình, hãy tắt hoàn toàn."
