Hẳn mọi người vẫn chưa quên Mạng thiết bị kết nối tự động ( Internet of Things – IoT) chứ? Kẻ được “lên sóng” hồi năm ngoái vì tạm thời đánh sập một số trang web lớn nhất thế giới.
Vâng, và đừng bất ngờ, một phiên bản mới hơn đã được phát hiện, cũng có khả phát động các cuộc tấn công DDoS và tương tự, nó được trang bị để đào bitcoin.
Ở thời đại kỹ thuật số như thế này, các hacker có thể dễ dàng lây nhiễm và kiểm soát các thiết bị được bảo vệ lỏng lẻo trên IoT, chẳng hạn như máy nướng bánh mỳ, máy ảnh hoặc các thiết bị kết nối mạng khác. Sau đó họ có thể nhóm chúng lại với nhau thành một mạng botnet, sử dụng khả năng kết hợp của những thiết bị này để bắn spam tại các trang web hoặc cấu trúc internet, làm giảm tốc độ hoặc gửi thông tin lên mạng.
Đó là những gì đã xảy ra trong một loạt các vụ tấn công vào mùa thu, sử dụng phần mềm độc hại có tên Mirai.
Phần mềm này được viết với mã nguồn mở, và rất nhanh chóng – với sự hoảng loạn của những chuyên viên an ninh mạng – các chủng loại khác nhau lặp đi lặp lại của phiên bản botnet đầu tiên đã tăng theo cấp số nhân với những tính năng bổ sung.
Theo nghiên cứu của IBM X-Force, bộ phận nghiên cứu không gian mạng của Big Blue, một dòng ELF Linux / Mirai đã bị phát hiện ra khi đang khai thác bitcoin trong vài ngày nay. Có vẻ như một số hacker đang thử nghiệm việc sử dụng năng lượng tích lũy từ các thiết bị IoT để khai thác đồng tiền số và kiếm lời từ đó.
Đây có thể là một tiên liệu cho các trường hợp sử dụng botnet IoT trong tương lai, Dave McMillen, chuyên gia nghiên cứu về mối đe dọa bảo mật của IBM và là tác giả của bài báo cáo, cho biết.
McMillen nói với chúng tôi:
“Biến thể ELF / Mirai này có thể hấp dẫn đối với những người khác trong tương lai nhờ vào tiềm năng lớn của thiết bị có thể tham gia vào.”
Tuy nhiên, nhà nghiên cứu cũng lưu ý rằng, botnet dường như không thành công trong việc đào bất kỳ bitcoin nào. Nhóm an ninh cho rằng nó có khả năng nhìn trộm trong tương lai.
KHAI THÁC BLIP
Vậy, chuyện gì đã xảy, và làm thế nào để IBM phát hiện ra thành phần khai thác của botnet?
McMillen giải thích, nói rằng:
“Chúng tôi đã phát hiện ra một sự tăng đột biến trong hoạt động xâm phạm dữ liệu môi trường khách hàng được giám sát bởi IBM X-Force, điều này đã thúc đẩy điều tra sâu hơn.”
Nhóm bảo mật đã chứng kiến lưu lượng truy cập liên quan đến một tệp nhị phân 64-bit của ELF, mà báo cáo mô tả khi bắt đầu bằng một “blip”, đạt được tăng trưởng 50% nhưng đã bị xáo trộn trong ngày thứ tám.
Nhóm nghiên cứu “phân tích” hệ nhị phân để phát hiện ra rằng phiên bản Linux của phần mềm độc hại tương tự như phiên bản Windows thường thấy hơn.
McMillen nói thêm: “Nó được phát hiện ra như một nô lệ bằng nhiều công cụ, tuy nhiên chúng tôi vẫn đang điều tra các đặc tính khác của biến thể này.”
Mặc dù hiện nay có rất nhiều biến thể của botnet, nhưng ELF Linux / Mirai lại có thêm nhiều khả năng để thực hiện cú pháp SQL injection (một cách kiểm soát cơ sở dữ liệu khét tiếng) và thực hiện các cuộc tấn công “brute force”.
Tuy nhiên, phiên bản Linux có một bổ sung – bộ phận khai thác mỏ bitcoin (mà bạn có thể xem trực tuyến ở đây).
MỐI ĐE DỌA TRONG TƯƠNG LAI?
IBM đã phủ nhận trong bản báo cáo rằng các lập trình viên botnet có thể đang tìm kiếm một phương pháp để trục lợi mỏ bitcoin với thiết bị IoT một cách mạo hiểm.
“Nhận thức được sức mạnh của Mirai có thể lây nhiễm hàng ngàn máy móc cùng một lúc, có thể các thợ đào Bitcoin sẽ hợp tác song song với nhau như là một tập đoàn lớn trong ngành khai thác. Chúng tôi vẫn chưa xác định được khả năng đó, nhưng thấy nó là một điều thú vị tuy nhiên vẫn có những khả năng cần phải cân nhắc “, một bài đăng trên blog giải thích, và bổ sung thêm:
“Một viễn cảnh có khả năng là trong khi các chương trình Mirai đang ở chế độ chờ đợi hướng dẫn tiếp theo, chúng có thể được tận dụng để đi vào chế độ khai thác.”
Mặc dù ý tưởng này cũng được thừa nhận, báo cáo chỉ ra rằng bitcoin đã được sử dụng cho các tội phạm mạng khác – như ransomware, mã hóa tất cả dữ liệu máy tính của người dùng với mục đích tống tiền – bởi vì nó được phân quyền và được quyền truy cập vào dữ liệu sâu hơn.
Công nghệ này có thể có những ứng dụng có lợi hơn. Ví dụ, một công ty gần đây đã tiết lộ mục đích xây dựng một botnet bitcoin để giúp các thiết bị IoT an toàn, kết hợp tiền thuật toán với những công nghệ tiềm năng cho các hoạt động trực tuyến ít mang lại lợi ích.
BẢO MẬT ĐƠN GIẢN
Vậy, làm thế nào để người sử dụng có thể bảo vệ các thiết bị kết nối internet của họ trước việc trở thành những nô lệ đào bitcoin?
Các phần mềm độc hại Mirai khai thác một vector tấn công đơn giản một cách đáng ngạc nhiên.
Vấn đề là nhiều thiết bị IoT đi kèm với mật khẩu được cài sẵn. Và, vì nhiều người dùng không bao giờ thay đổi chúng, tất cả kẻ tấn công cần làm là tìm mật khẩu mặc định để ‘hack’ vào các thiết bị.
Lời khuyên của McMillen là để người dùng thay đổi mật khẩu đó. Dù vậy, ông nói rằng ông hy vọng rằng các công ty IoT cũng đang bắt đầu giải quyết vấn đề.
Ông kết luận:
“Các nhà sản xuất có thể đang tìm cách để quản lý các thông tin này một cách an toàn hơn, có lẽ bằng cách thúc đẩy thay đổi bắt buộc hoặc ngẫu nhiên hóa các đăng nhập mặc định.”
