Phát hiện botnet khổng lồ gồm 500.000 router

20/03/2017
113
356 bài viết
Phát hiện botnet khổng lồ gồm 500.000 router
VPNFilter.png
Hơn nửa triệu thiết bị định tuyến và lưu trữ tại hàng chục quốc gia đã bị nhiễm một mã độc botnet phức tạp, có khả năng được thiết kế bởi nhóm hacker do Nga hậu thuẫn.

Bộ phận nghiên cứu tình báo mạng Talos của Cisco đã phát hiện một malware botnet các thiết bị IoT, có tên VPNFilter, được thiết kế với khả năng linh hoạt có thể thu thập thông tin tình báo, can thiệp vào quá trình liên lạc internet, cũng như tiến hành các hoạt động tấn công mạng phá hoại.

VPNFilter có thể đánh cắp thông tin đăng nhập của trang web và theo dõi các hệ thống điều khiển công nghiệp hoặc SCADA, như hệ thống lưới điện, cơ sở hạ tầng và nhà máy khác.

VPNFilter liên lạc qua mạng ẩn danh Tor và thậm chí có chứa một killswitch (công tắc) cho các bộ định tuyến để tự diệt chính mình.

Trong khi hầu hết các malware khác nhắm vào các thiết bị IOT, trong giai đoạn đầu, VPNFilter vẫn tồn tại kể cả khi reset lại thiết bị bị lây nhiễm và cho phép chạy malware ở bước thứ hai.

VPNFilter được đặt tên theo một thư mục (/var/run/vpnfilterw) mà malware này tạo ra để ẩn các file của nó trên thiết bị bị lây nhiễm.

Vì quá trình nghiên cứu vẫn đang tiếp diễn, các nhà nghiên cứu tại trung tâm Talos "chưa có bằng chứng rõ ràng về cách malware này khai thác các thiết bị bị ảnh hưởng", nhưng họ tin rằng VPNFilter không khai thác bất kỳ lỗ hổng zero-day nào để lây nhiễm các thiết bị.

Thay vào đó, malware này nhắm mục tiêu vào các thiết bị tồn tại các lỗ hổng đã công khai và được nhiều người biết đến hoặc có thông tin đăng nhập mặc định, giúp cho việc tương thích trở nên đơn giản.

Các nhà nghiên cứu Talos tin tưởng rằng chính phủ Nga đang đứng đằng sau VPNFilter vì mã độc này có nhiều điểm tương đồng với các phiên bản BlackEnergy – một malware tấn công vào nhiều thiết bị ở Ukraine trên diện rộng mà chính phủ Mỹ cáo buộc Nga có liên quan.

Mặc dù đã phát hiện các thiết bị bị lây nhiễm VPNFilter tại hơn 54 quốc gia, các nhà nghiên cứu tin rằng tin tặc đang nhắm mục tiêu cụ thể đến Ukraine, sau một đợt lây nhiễm cao điểm xảy ra tại quốc gia này ngày 8/5 vừa qua.

Theo bài blog của chuyên gia William Largent từ Talos, "Malware có đặc tính phá hoại làm cho thiết bị bị lây nhiễm không thể sử dụng được, có thể được kích hoạt trên các máy tính cá nhân hoặc từ một loạt máy, và có khả năng chặn hàng trăm nghìn nạn nhân trên toàn thế giới truy cập internet”.

Các nhà nghiên cứu cho biết họ công bố những phát hiện của mình trước khi hoàn thành nghiên cứu, do lo ngại về một cuộc tấn công sắp tới có thể xảy ra tại Ukraine, vốn là nạn nhân của nhiều tấn công mạng từ Nga, bao gồm tấn công gây mất điện trên diện rộng và NotPetya.

Nếu router của bạn đã bị nhiễm malware này, hãy reset lại về chế độ mặc định ban đầu để diệt malware và cập nhật firmware càng sớm càng tốt.

Bạn cần cẩn trọng hơn về vấn đề bảo mật của các thiết bị IoT thông minh. Để phòng chống lại các cuộc tấn công tương tự, bạn nên thay đổi thông tin đăng nhập mặc định trên thiết bị của mình.

Nếu router của bạn có nguy cơ bị tấn công trong khi lại không thể cập nhật, đơn giản nhất là mua 1 router mới. Bảo mật và quyền riêng tư của bạn đáng giá hơn nhiều giá trị của một chiếc router.

Ngoài ra, bảo vệ router bằng tường lửa và tắt tính năng quản trị từ xa trừ khi bạn thực sự cần dùng đến.

Theo Hackernews
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
"Nếu router của bạn đã bị nhiễm malware này, hãy reset lại về chế độ mặc định ban đầu để diệt malware và cập nhật firmware càng sớm càng tốt."
Thực ra để nhận biết router đã bị nhiễm malware này hay chưa là điều rất khó. Reset router về chế độ mặc định ban đầu (Factory default) trong nhiều trường hợp thậm chí còn khó khăn hơn vì ảnh hưởng đến dịch vụ đang chạy, rồi lại cần cấu hình lại từ đầu, sau đó còn phải update firmware.
Mặc dù cách trên là triệt để nhất nhưng có một cách đơn giản hơn, có thể làm được ngay (mặc dù không triệt để bằng) được các nhà nghiên cứu khuyến nghị là khởi động lại router. Vì đối với loại mã độc VPNFilter, khi khởi động lại, những đoạn mã độc trên bộ nhớ RAM sẽ bị xóa, do vậy mã độc sẽ phải thực hiện lại hành vi kết nối nhận lệnh từ C&C server. Và điều này có thể sẽ không thành công vì các cơ quan/tổ chứ an ninh mạng đã và đang ngăn chặn kết nối tới C&C server.
Tham khảo
https://forums.juniper.net/t5/Threa...e=facebook&utm_campaign=Security_Awareness_US
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
vpnfilter
Bên trên