Chiến dịch tấn công DDoS botnet mới khai thác các thiết bị IoT trên diện rộng
Các nhà nghiên cứu của công ty bảo mật đám mây Aqua Nautilus (Mỹ) cho biết một tác nhân đe dọa có tên là Matrix đã được liên kết với một chiến dịch từ chối dịch vụ phân tán (DoD) trên diện rộng, lợi dụng các lỗ hổng và cấu hình lỗi trong các thiết bị Internet vạn vật (IoT) để biến chúng thành một mạng lưới botnet tinh vi.
Đặc điểm chính của cuộc tấn công
Matrix sử dụng đa dạng các tập lệnh dựa trên Python, Shell và Golang có nguồn gốc từ GitHub và các nền tảng khác. Các công cụ như biến thể Mirai, SSH và bot Discord làm nổi bật việc tích hợp các nền tảng có sẵn vào các chiến dịch tùy chỉnh. Tin tặc cũng kiếm tiền từ các dịch vụ thông qua Telegram, cung cấp các kế hoạch tấn công DDoS cho các khoản thanh toán bằng tiền điện tử.
Chiến dịch này sử dụng các cuộc tấn công brute-force, thông tin xác thực yếu và các khai thác đã biết để xây dựng một mạng botnet có khả năng gây gián đoạn đáng kể. Điều này phản ánh xu hướng ngày càng tăng khi script kiddies tận dụng các công cụ có sẵn công khai để thực hiện các cuộc tấn công tinh vi.
Đặc trưng của chuỗi tấn công là việc khai thác các lỗ hổng bảo mật đã biết cũng như thông tin đăng nhập mặc định hoặc yếu để có quyền truy cập vào nhiều thiết bị được kết nối Internet như camera IP, DVR, bộ định tuyến và thiết bị viễn thông.
Trong đó, các tin tặc chủ yếu tấn công dựa vào mật khẩu yếu, với 80% thông tin xác thực được xác định liên quan đến người dùng root hoặc admin. Các chiến thuật này nhấn mạnh việc không áp dụng các biện pháp bảo mật cơ bản, chẳng hạn như thay đổi thông tin đăng nhập mặc định, bảo mật giao thức quản trị và áp dụng các bản cập nhật firmware, khiến thiết bị dễ bị xâm phạm.
Tin tặc cũng được phát hiện lợi dụng các máy chủ Telnet, SSH và Hadoop cấu hình lỗi, đặc biệt tập trung vào các phạm vi địa chỉ IP liên quan đến các nhà cung cấp dịch vụ đám mây như Amazon Web Services (AWS), Microsoft Azure và Google Cloud.
Hoạt động độc hại này còn dựa vào nhiều tập lệnh và công cụ có sẵn trên GitHub, cuối cùng là triển khai phần mềm độc hại botnet Mirai và các chương trình liên quan đến DDoS khác trên các thiết bị và máy chủ bị xâm phạm. PYbot, pynet, DiscordGo, Homo Network, một chương trình JavaScript thực hiện tấn công flood HTTP/HTTPS và một công cụ có thể vô hiệu hóa ứng dụng Microsoft Defender Antivirus trên máy tính chạy Windows.
Các nhà nghiên cứu nhận định chiến dịch này tuy không quá phức tạp, nhưng chứng minh được các công cụ dễ tiếp cận và kiến thức kỹ thuật cơ bản có thể giúp cá nhân thực hiện một cuộc tấn công trên phạm vi diện rộng, đa diện vào nhiều lỗ hổng và cấu hình lỗi trong các thiết bị kết nối mạng.
Phạm vi mục tiêu
Như đã đề cập, mục tiêu của Matrix bao gồm các nhà cung cấp dịch vụ đám mây, các doanh nghiệp nhỏ và các khu vực có nhiều hệ thống IoT như Trung Quốc và Nhật Bản. Phân tích cho thấy có tới 35 triệu thiết bị tiềm năng có thể bị ảnh hưởng, cho thấy một mạng lưới botnet từ 350 nghìn đến 1,7 triệu thiết bị, tùy thuộc vào tỷ lệ lỗ hổng.
Chiến dịch này nhấn mạnh sự chuyển hướng sang khai thác lỗ hổng của doanh nghiệp cùng với các hệ thống IoT. Theo truyền thống, khai thác tiền điện tử chiếm ưu thế trong các cuộc tấn công như vậy, nhưng trọng tâm của Matrix bao gồm cả máy chủ sản xuất và phát triển, làm tăng rủi ro cho môi trường doanh nghiệp.
Để giải quyết những mối đe dọa này, các tổ chức cần có các biện pháp bảo mật mạnh mẽ, trong đó đặc biệt là việc cập nhật các bản vá và firmware thường xuyên, thay đổi thông tin xác thực mạnh và giám sát các lỗ hổng bảo mật.
Matrix sử dụng đa dạng các tập lệnh dựa trên Python, Shell và Golang có nguồn gốc từ GitHub và các nền tảng khác. Các công cụ như biến thể Mirai, SSH và bot Discord làm nổi bật việc tích hợp các nền tảng có sẵn vào các chiến dịch tùy chỉnh. Tin tặc cũng kiếm tiền từ các dịch vụ thông qua Telegram, cung cấp các kế hoạch tấn công DDoS cho các khoản thanh toán bằng tiền điện tử.
Chiến dịch này sử dụng các cuộc tấn công brute-force, thông tin xác thực yếu và các khai thác đã biết để xây dựng một mạng botnet có khả năng gây gián đoạn đáng kể. Điều này phản ánh xu hướng ngày càng tăng khi script kiddies tận dụng các công cụ có sẵn công khai để thực hiện các cuộc tấn công tinh vi.
Đặc trưng của chuỗi tấn công là việc khai thác các lỗ hổng bảo mật đã biết cũng như thông tin đăng nhập mặc định hoặc yếu để có quyền truy cập vào nhiều thiết bị được kết nối Internet như camera IP, DVR, bộ định tuyến và thiết bị viễn thông.
Trong đó, các tin tặc chủ yếu tấn công dựa vào mật khẩu yếu, với 80% thông tin xác thực được xác định liên quan đến người dùng root hoặc admin. Các chiến thuật này nhấn mạnh việc không áp dụng các biện pháp bảo mật cơ bản, chẳng hạn như thay đổi thông tin đăng nhập mặc định, bảo mật giao thức quản trị và áp dụng các bản cập nhật firmware, khiến thiết bị dễ bị xâm phạm.
Tin tặc cũng được phát hiện lợi dụng các máy chủ Telnet, SSH và Hadoop cấu hình lỗi, đặc biệt tập trung vào các phạm vi địa chỉ IP liên quan đến các nhà cung cấp dịch vụ đám mây như Amazon Web Services (AWS), Microsoft Azure và Google Cloud.
Hoạt động độc hại này còn dựa vào nhiều tập lệnh và công cụ có sẵn trên GitHub, cuối cùng là triển khai phần mềm độc hại botnet Mirai và các chương trình liên quan đến DDoS khác trên các thiết bị và máy chủ bị xâm phạm. PYbot, pynet, DiscordGo, Homo Network, một chương trình JavaScript thực hiện tấn công flood HTTP/HTTPS và một công cụ có thể vô hiệu hóa ứng dụng Microsoft Defender Antivirus trên máy tính chạy Windows.
Các nhà nghiên cứu nhận định chiến dịch này tuy không quá phức tạp, nhưng chứng minh được các công cụ dễ tiếp cận và kiến thức kỹ thuật cơ bản có thể giúp cá nhân thực hiện một cuộc tấn công trên phạm vi diện rộng, đa diện vào nhiều lỗ hổng và cấu hình lỗi trong các thiết bị kết nối mạng.
Phạm vi mục tiêu
Như đã đề cập, mục tiêu của Matrix bao gồm các nhà cung cấp dịch vụ đám mây, các doanh nghiệp nhỏ và các khu vực có nhiều hệ thống IoT như Trung Quốc và Nhật Bản. Phân tích cho thấy có tới 35 triệu thiết bị tiềm năng có thể bị ảnh hưởng, cho thấy một mạng lưới botnet từ 350 nghìn đến 1,7 triệu thiết bị, tùy thuộc vào tỷ lệ lỗ hổng.
Chiến dịch này nhấn mạnh sự chuyển hướng sang khai thác lỗ hổng của doanh nghiệp cùng với các hệ thống IoT. Theo truyền thống, khai thác tiền điện tử chiếm ưu thế trong các cuộc tấn công như vậy, nhưng trọng tâm của Matrix bao gồm cả máy chủ sản xuất và phát triển, làm tăng rủi ro cho môi trường doanh nghiệp.
Để giải quyết những mối đe dọa này, các tổ chức cần có các biện pháp bảo mật mạnh mẽ, trong đó đặc biệt là việc cập nhật các bản vá và firmware thường xuyên, thay đổi thông tin xác thực mạnh và giám sát các lỗ hổng bảo mật.
Tác giả: Hồng Đạt (Tổng hợp)
Nguồn tin: Tạp chí An toàn thông tin
Tin đọc nhiều nhất
-
Chuyên gia tiết lộ cách nhận biết một trang web hoặc ứng dụng đang theo dõi bạn
-
Những tính năng mới trên phiên bản Windows 11 24H2
-
24 ứng dụng AI tiên tiến năm 2024
-
Những mặt trái của ứng dụng trí tuệ nhân tạo và giải pháp khắc phục
-
Những xu hướng sẽ định hình thương mại điện tử năm 2024
-
Những ứng dụng và lợi ích của Internet vạn vật trong nông nghiệp
-
Bài học từ 'kỳ tích' chuyển đổi số của Singapore
