WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Hàng nghìn router tại 109 quốc gia bị lợi dụng để tấn công DDoS
Tội phạm mạng đang lợi dụng hàng nghìn router gia đình không an toàn do ISP (Nhà phân phối dịch vụ Internet) và nhà sản xuất phân phối để xây dựng các mạng botnet lớn với mục đích tấn công DDoS.
Một cuộc nghiên cứu an ninh cho thấy lưu lượng xấu được truyền tới 60 trong số các khách hàng của hãng dịch vụ Incapsula theo chu kỳ 121 ngày từ 40.269 địa chỉ IP thuộc 1.600 IPS tại 109 quốc gia.
Mạng máy tính ma được tạo chủ yếu từ các thiết bị Ubiquiti trên nền ARM, là lý do khiến các nhà nghiên cứu an ninh mạng đưa ra kết luận tội phạm mạng khai thác lỗ hổng trên firmware.
Tuy nhiên, giả thuyết này đã bị bác bỏ trong một phát hiện gần đây. Trên thực tế tất cả router có thể bị truy nhập từ xa trên các cổng mặc định thông qua HTTP và SSH, mở ra cánh cửa cho các cuộc tấn công từ xa.
Tin tặc không cần quá tốn công để tìm cách tiếp cận thiết bị, bởi hầu hết các router đều được bảo vệ bởi các thông tin đăng nhập mặc định từ nhà cung cấp.
Một loại mã độc phổ biến được phát hiện tồn tại trên các thiết bị mục tiêu là Mr. Black, hay còn gọi là Spike, một mạng botnet phục vụ tấn công từ chối dịch vụ. Malware này hiện diện trên 86,5% router.
Nỗ lực của hãng dịch vụ phát hiện thấy 60 máy chủ C&C, 73% trong số đó được đặt tại Trung Quốc và 21% còn lại ở Mỹ.
Từ phân tích các mẫu DoS, các nhà nghiên cứu xác định 1 trong các nhóm khai thác router đã nhắm đến các mục tiêu online là một phần trong phong trào hacker Anonymous.
Mã độc trên thiết bị mục tiêu cũng có thể quét trang web cho router khác có thể được truy cập thông qua cổng SSH bằng các thông tin đăng nhập mặc định.
Báo cáo từ công ty an ninh cũng chỉ ra rằng mạng botnet cũng bị các thành viên của Lizard Squad khai thác cho dịch vụ DDoS, Lizard Stresser.
Hãng dịch vụ đã thông báo tới Ubiquiti và ISP liên quan về lỗ hổng trên router do 2 công ty này phân phối. Tuy nhiên người dùng nên xem xét việc vô hiệu khả năng tiếp cận thiết bị từ xa và thay đổi thông tin đăng nhập mặc định để ngăn chặn việc xâm nhập không được phép.
Nguồn: Softpedia
Một cuộc nghiên cứu an ninh cho thấy lưu lượng xấu được truyền tới 60 trong số các khách hàng của hãng dịch vụ Incapsula theo chu kỳ 121 ngày từ 40.269 địa chỉ IP thuộc 1.600 IPS tại 109 quốc gia.
Mạng máy tính ma được tạo chủ yếu từ các thiết bị Ubiquiti trên nền ARM, là lý do khiến các nhà nghiên cứu an ninh mạng đưa ra kết luận tội phạm mạng khai thác lỗ hổng trên firmware.
Tuy nhiên, giả thuyết này đã bị bác bỏ trong một phát hiện gần đây. Trên thực tế tất cả router có thể bị truy nhập từ xa trên các cổng mặc định thông qua HTTP và SSH, mở ra cánh cửa cho các cuộc tấn công từ xa.
Tin tặc không cần quá tốn công để tìm cách tiếp cận thiết bị, bởi hầu hết các router đều được bảo vệ bởi các thông tin đăng nhập mặc định từ nhà cung cấp.
Một loại mã độc phổ biến được phát hiện tồn tại trên các thiết bị mục tiêu là Mr. Black, hay còn gọi là Spike, một mạng botnet phục vụ tấn công từ chối dịch vụ. Malware này hiện diện trên 86,5% router.
Nỗ lực của hãng dịch vụ phát hiện thấy 60 máy chủ C&C, 73% trong số đó được đặt tại Trung Quốc và 21% còn lại ở Mỹ.
Từ phân tích các mẫu DoS, các nhà nghiên cứu xác định 1 trong các nhóm khai thác router đã nhắm đến các mục tiêu online là một phần trong phong trào hacker Anonymous.
Mã độc trên thiết bị mục tiêu cũng có thể quét trang web cho router khác có thể được truy cập thông qua cổng SSH bằng các thông tin đăng nhập mặc định.
Báo cáo từ công ty an ninh cũng chỉ ra rằng mạng botnet cũng bị các thành viên của Lizard Squad khai thác cho dịch vụ DDoS, Lizard Stresser.
Hãng dịch vụ đã thông báo tới Ubiquiti và ISP liên quan về lỗ hổng trên router do 2 công ty này phân phối. Tuy nhiên người dùng nên xem xét việc vô hiệu khả năng tiếp cận thiết bị từ xa và thay đổi thông tin đăng nhập mặc định để ngăn chặn việc xâm nhập không được phép.
Nguồn: Softpedia