Kẻ tấn công nhiều kinh nghiệm phát triển mạng botnet Windows để phát tán mã độc Mirai khét tiếng

Bài viết liên quan

• Phần mềm diệt virus Kaspersky Lab giữ vị trí Top 3 trong lĩnh vực An Ninh Mạng
• Kaspersky Lab được chọn vào nhóm Leader trong Magic Quadrant của Gartner cho Nền tảng Bảo mật Đầu cuối lần thứ 6 liên tiếp
• Kaspersky Lab nâng cao khả năng ứng phó với sự cố cho doanh nghiệp
• Kaspersky Lab 2017: Giải pháp bảo mật oan toàn cho cá nhân và doanh nghiệp nhỏ

Có vẻ mạng bot này được tạo ra bởi lập trình viên có kinh nghiệm hơn là những kẻ đã thực hiện tấn công DDoS ồ ạt vào cuối năm 2016 – điều dấy lên lo ngại về mục tiêu tương lai của các cuộc tấn công sử dụng Mirai. Tác giả của phần mềm độc hại này có thể là người nói tiếng Trung. Dữ liệu Kaspersky Lab cho thấy khoảng 500 hệ thống đã bị tấn công trong năm 2017 và những thị trường mới nổi có đầu tư lớn vào công nghệ kết nối có thể gặp nguy hiểm cao. 

Spreader chạy trên Windows mạnh hơn so với Mirai nguyên bản nhưng hầu hết mọi bộ phận, thủ thuật và chức năng của spreader mới đều đã cũ. Khả năng phát tán Mirai còn hạn chế ở chỗ: nó chỉ có thể phát tán từ máy tính Windows đã bị lây nhiễm đến thiết bị IoT yếu kém thuộc hệ điều hành Linux nếu nó có thể tấn công kết nối telnet từ xa thành công.

Tuy bị hạn chế nhưng mã độc này chính là tác phẩm của lập trình viên có kinh nghiệm. Các yếu tố tạo tác như ngôn ngữ trong phần mềm, mã độc được viết trên hệ thống Trung Quốc có server tại Đài Loan và có giấy phép trộm từ các công ty Trung Quốc cho thấy lập trình viên có thể là người nói tiếng Trung.

Kurt Baumgartner, Giám đốc Nghiên cứu Bảo mật, Kaspersky Lab cho biết: “Sự xuất hiện của Mirai lai giữa nền tảng Linux và Windows là vấn đề đáng lo ngại vì nó chính là sự xuất hiện của lập trình viên dày dạn kinh nghiệm. Lần tung mã nguồn của Trojan ngân hàng Zeus đã khiến cộng đồng trực tuyến gặp rắc rối trong nhiều năm và giờ đây, mã nguồn mạng lưới bot của các thiết bị IoT thuộc Mirai đang làm điều tương tự. Những kẻ tấn công nhiều kinh nghiệm hơn, có nhiều kĩ năng và thủ thuật ngày càng tinh vi đang bắt đầu phát tán mã độc Mirai một cách không do dự. Botnet Windows dùng để phát tán bot IoT của Mirai vượt qua trở ngại và cho phép phát tán Mirai đến những thiết bị và mạng lưới mới. Đây chỉ mới là sự bắt đầu”.

Theo ghi nhận của Kaspersky Lab, gần 500 hệ thống đã bị bot Windows này tấn công trong năm 2017 và những nỗ lực lây nhiễm đều bị phát hiện và ngăn chặn.

Dựa trên địa chỉ IP trong giai đoạn tấn công thứ hai, những quốc gia dễ bị tấn công nhất là những thị trường mới nổi đã và đang đầu tư lớn vào công nghệ kết nối như Ấn Độ, Việt Nam, Ả-rập Saudi, Trung Quốc, Iran, Brazil, Moroco, Thổ Nhĩ Kỳ, Malawi, Các tiểu vương quốc Ả-rập thống nhất, Pakistan, Tunisia, Nga, Moldova, Venezuela, Philippines, Colombia, Romania, Peru, Ai Cập và Bangladesh.

Kaspersky Lab cùng với CERT (Đội ứng cứu máy tính khẩn cấp), nhà cung cấp và các nhà điều hành mạng để giải quyết các mối đe dọa ngày càng tăng lên đối với cơ sở hạ tầng của Internet bằng cách giảm đáng kể số lượng máy chủ. Việc gỡ bỏ nhanh chóng và thành công những máy chủ này làm giảm thiểu rủi ro và làm gián đoạn botnet IoT đang phát triển nhanh hiện nay. Nhờ tận dụng kinh nghiệm và mối quan hệ với CERT và các nhà cung cấp trên toàn thế giới, Kaspersky Lab đã có thể xúc tiến những nỗ lực này.

Sản phẩm Kaspersky Lab phát hiện và mang đến sự bảo vệ trước các bot Windows và Mirai với những cái tên sau:

Trojan.Win32.SelfDel.ehlq

Trojan.Win32.Agentb.btlt

Trojan.Win32.Agentb.budb

Trojan.Win32.Zapchast.ajbs

Trojan.BAT.Starter.hj

Trojan-PSW.Win32.Agent.lsmj

Trojan-Downloader.Win32.Agent.hesn 

Trojan-Downloader.Win32.Agent.silgjn

Backdoor.Win32.Agent.dpeu

HEUR:Trojan-Downloader.Linux.Gafgyt.b

DangerousPattern.Multi.Generic (UDS)