Malware Mirai đang tiến hóa siêu khủng – Nguy hiểm gấp bội!

KemMeo99

New member
a6f43c7def007b14632f.jpg


Chưa bao giờ thấy một malware tạo botnet nào biết "tự nâng cấp bản thân" như vậy đâu các bạn ơi!

Chỉ mới vài tuần trước thôi, hàng loạt cuộc tấn công mạnh vỡ mặt đã xảy ra nhờ sự "hỗ trợ" của Mirai – một malware siêu nguy hiểm có thể tạo ra mạng botnet khổng lồ từ những thiết bị IoT kết nối Internet.

Nhờ mấy mạng botnet này mà các "ông lớn" như Dyn hay nhà cung cấp dịch vụ OVH của Pháp đã bị đánh sấp mặt, gây ra hàng loạt sự cố mạng trên toàn cầu luôn á!

Và trong khi mọi người đang nghĩ rằng Mirai đã "hết nhiên liệu", thì plot twist nè: các bằng chứng mới cho thấy nó vẫn còn rất nguy hiểm – thậm chí còn đang tiến hóa để nguy hiểm hơn nữa cơ!

Các nhà nghiên cứu về Mirai cho biết, mặc dù số lượng tấn công hàng ngày có giảm nhẹ gần đây, nhưng họ đang chứng kiến sự phát triển đáng sợ của bản thân malware này. Nó dường như được chỉnh sửa để lây nhiễm thêm nhiều thiết bị IoT dễ bị tổn thương hơn nữa.

Các chuyên gia cảnh báo, quá trình này có thể làm tăng "quân số" cho mạng botnet, đồng thời tăng sức mạnh tổng hợp khi tấn công. Nguy quá trời!

"Có ý kiến cho rằng các botnet này đã chết hoặc suy yếu dần, nhưng điều chúng ta đang thấy là Mirai đang tiến hóa nha." John Costello, nhà phân tích cao cấp tại hãng bảo mật thông minh Flashpoint, chia sẻ.

"Mọi người luôn rất sáng tạo và họ sẽ tìm được cách mới để lây nhiễm các thiết bị chưa bị tổn thương. Mirai cũng không phải ngoại lệ."

3f1dae75898135d854f9.jpg


## Malware biết "tu luyện" – Flex khủng!

Các nhà nghiên cứu của Flashpoint cho biết, Mirai được cấu trúc như một nền tảng phần mềm có thể cập nhật thêm tính năng mới theo thời gian, chứ không chỉ là vũ khí tấn công dùng một lần rồi bỏ.

Vì vậy, các hacker có thể "upgrade" thêm chức năng cho nó rồi phát tán phiên bản mới. Đây là điều chưa từng có với các malware tạo botnet trước đây, tuy nhiên nó đòi hỏi kẻ tấn công phải có nhiều skill và resources lắm đó!

Kết quả là những kẻ điều khiển botnet Mirai có thể bổ sung thêm nhiều thiết bị vào "đội quân zombie" của mình, tạo ra các đợt tấn công DDoS với lượng traffic khổng lồ mà không cần xây dựng malware mới từ đầu. Thông minh vãi!

Theo Zach Wikholm, nhà nghiên cứu tại Flashpoint, Mirai đã bắt đầu tận dụng lợi thế độc đáo của mình như một "framework" cho malware luôn.

"Malware loại cũ được tạo ra cho một mục đích cụ thể, không dễ mở rộng. Nhưng Mirai khác biệt và chúng tôi đã bắt đầu thấy sự tiến hóa đang diễn ra. Dường như nó được xây dựng cho dài hạn."

Flashpoint đã phát hiện dấu hiệu cho thấy tin tặc có thể tinh chỉnh Mirai để khai thác cùng loại lỗ hổng trên thiết bị IoT để lây nhiễm các sản phẩm khác.

Mirai tấn công thiết bị bằng cách lợi dụng việc một số nhà sản xuất cài đặt mật khẩu quản trị mặc định chung cho các thiết bị IoT, nên hacker dễ dàng xâm nhập lắm. Ez game!

Nhưng Mirai luôn lập danh sách các yếu tố không phù hợp khi khai thác thiết bị hiện tại, để bổ sung vào phiên bản sau.

Hiện tại các nhà nghiên cứu của Flashpoint đang thấy phiên bản mới của Mirai được xây dựng để kết nối tới những thiết bị sử dụng các yếu tố này.

Flashpoint cho biết, họ chưa phát hiện được thiết bị nào có thể bị tổn thương, nhưng rõ ràng mục đích của nó là lây nhiễm thêm các sản phẩm mới, mở rộng mạng botnet.

f16237dc8b7dc720232f.jpg


Cuối tháng 9 vừa qua, một hacker tên "Anna-senpai" còn công khai phát hành một phần mã nguồn của Mirai, tuyên bố mình có thể khai thác đến 380.000 thiết bị IoT, giảm so với con số 500.000 ban đầu.

Tuy nhiên, sau cuộc tấn công vào website của nhà báo độc lập về bảo mật Brian Krebs, con số này giảm xuống chỉ còn 300.000 thiết bị.

Theo Anna-Senpai viết trên diễn đàn Hackforums, các nhà cung cấp Internet đã bắt đầu "làm sạch đường truyền", chặn các truy cập độc hại từ những thiết bị nhiễm malware này.

Mã nguồn mở không chỉ làm các cuộc tấn công bằng Mirai nguy hiểm hơn, mà còn cho phép nhiều người có thể sử dụng nó – theo Flashpoint, hiện có khoảng 25 cá nhân và tổ chức riêng biệt có thể xài botnet này. Nguy rồi!

Khi nhiều tin tặc khác nhau có thể truy cập vào một botnet, nó sẽ tách nhỏ ra, phân chia sức mạnh cho các mục tiêu khác nhau của những người vận hành.

Trong trường hợp của Mirai, các nhà nghiên cứu phát hiện rằng, trong khi tranh giành quyền điều khiển phần botnet lớn hơn, nhiều kẻ tấn công đã khóa chặt các thiết bị nhiễm malware trong phần của riêng mình, để chỉ họ mới được dùng những thiết bị này.

## Chiến tranh nội bộ – Drama không ngờ!

Tuần trước, các nhà nghiên cứu tại Flashpoint cho biết sức mạnh của Mirai có thể suy tàn vĩnh viễn vì cuộc chiến giành giật nguồn tài nguyên này.

Riêng trong ngày bầu cử tại Mỹ, các nhà nghiên cứu thấy số lượng tấn công của Mirai đã sụt giảm đáng kể và quy mô cũng rất nhỏ.

Cuộc cạnh tranh giữa các phe để giành quyền điều khiển botnet Mirai đã căng đến mức các bên phải dùng DDoS để tấn công và triệt hạ lẫn nhau. Tự đánh nhau luôn á!

Theo Wikholm từ Flashpoint, mô hình đấu đá nội bộ là điều các nhà nghiên cứu botnet đã thấy trước đây. "Khi chúng tôi xem lại các log lưu lượng mạng, có thể thấy họ đang tấn công lẫn nhau. Điều này thật tức cười."

Nhưng sau cuộc bầu cử, tần suất tấn công Mirai đã tăng trở lại, đặc biệt nhắm vào các công ty game và dịch vụ như máy chủ Minecraft.

Nếu Mirai vẫn đang tiến hóa và tạo ra phương pháp kết nối mới với những thiết bị dễ tổn thương để phát triển quy mô botnet, sẽ có thêm nhiều thiết bị bị lây nhiễm.

Cuối cùng có lẽ Mirai sẽ lấy lại sức mạnh trước đây – ít nhất cho đến khi một cuộc chiến phe phái khác làm nó suy yếu lần nữa. Plot twist liên tục!

Ngay cả khi những kẻ tấn công hiện tại không thể tạo ra lượng traffic khổng lồ như trước với Mirai, các nhà nghiên cứu tại Flashpoint và nhà cung cấp dịch vụ Internet Level 3 cũng thấy, trung bình các cuộc tấn công khai thác hơn 90.000 thiết bị để nhắm vào các dịch vụ game và cơ sở hạ tầng mạng.

"Nó cho thấy, mặc dù không phe nào đang tham chiến có đủ sức phát động cuộc tấn công như ta đã thấy với Krebs, OVH hay Dyn, nó vẫn đủ gây khó khăn với sự tham gia của rất nhiều host." Costello từ Flashpoint cho biết.

"Không chỉ do quy mô một cuộc tấn công duy nhất, mà còn ở tính bền bỉ, kéo dài và lặp đi lặp lại của cuộc tấn công."

## Hàng chục cuộc tấn công DDoS mỗi ngày – Nghe mà muốn ngất!

Cho dù các ISP đã nỗ lực xử lý các truy cập từ botnet Mirai, tốc độ và khả năng của botnet để phát động tấn công vào các phần khác nhau của hạ tầng Internet (ví dụ máy chủ DNS) đã tạo ra thách thức nghiêm trọng về phòng vệ.

8fec00b8c24a728f9de6.jpg


"Năm tháng trước, chúng tôi đã thông báo về việc ra đời của các mạng botnet này," Dale Drew, giám đốc bảo mật của Level 3, cho biết.

"Các phân tích về hành vi giúp chúng tôi có lợi thế trong việc đưa ra cảnh báo sớm, tuy nhiên, quy mô của mạng botnet này là điều chúng ta có thể gặp khó khăn để chống đỡ."

Dale cho biết, Level 3 đã phát hiện khoảng 31 cuộc tấn công Mirai mỗi ngày, và chưa có ngày nào ít hơn kể từ khi nó xuất hiện lần đầu đến nay. Kiên trì vãi ò!

Tuy nhiên, không phải mọi điều đều bi quan, ở mặt tích cực hơn, các ISP và công ty cung cấp hạ tầng mạng Internet đã bắt đầu xem xét đầu tư để cải thiện khả năng phòng vệ của họ.

Các nhà nghiên cứu cho rằng, việc tăng cường hợp tác giữa các ngành công nghiệp và nâng cao khả năng bảo mật của IoT sẽ là kết quả tích cực cho cuộc chiến với Mirai.

"Các botnet như Mirai đang giúp tất cả các bên trong cuộc chạy đua này xác định rõ ràng những rủi ro trước mắt trong lĩnh vực thiết bị nhúng."

Ang Cui, CEO và người sáng lập công ty bảo mật IoT Red Ballon, cho biết. "Hiện giờ đây là vấn đề đau đầu với chúng tôi, nhưng việc số lượng các thiết bị dễ tổn thương sẽ ngày một giảm đi là điều không thể tránh khỏi, cho dù với Mirai hay botnet nào khác."

Mirai có thể không phải malware đầu tiên hay cuối cùng, nhưng khả năng mở rộng của nó trên thiết bị IoT là điều cộng đồng bảo mật có thể dự đoán trước.

Quả thật, thiết kế của nó rất thông minh. Nhà nghiên cứu Costello của Flashpoint còn cho rằng nó rất "hiếm có" trong khả năng lây nhiễm và thu thập thêm các thiết bị dễ tổn thương mới vào đội quân zombie của mình. Rare đó! ✨

"Mọi người đã nhận thấy có điều gì đó đang diễn ra, nhưng không ai hiểu đầy đủ quy mô của nó." Costello cho biết. "Đây thực sự là điều làm thức tỉnh rất nhiều người."

Nguồn: soha.vn
 
Back
Top