Gần một triệu thiết bị định tuyến bị tấn công

08:02 | 15/12/2016 | HACKER / MALWARE

Mạng botnet Mirai ngày càng phát triển và trở nên nguy hiểm hơn, bởi nó có khả năng lây nhiễm trên các thiết bị IoT.

Tháng 10/2016, mạng botnet Mirai đã gây ra cuộc tấn công DDoS lớn nhất từ trước đến nay, làm tê liệt một số trang web lớn và phổ biến nhất trên thế giới.

Mới đây nhất, hơn 900.000 thiết bị định tuyến băng thông rộng (broadband routers) của nhà cung cấp dịch vụ viễn thông Deutsche Telekom, Đức đã bị ngưng trệ hoạt động sau một cuộc tấn công gây ảnh hưởng đến hệ thống điện thoại, truyền hình và dịch vụ Internet của nước này.

Deutsche Telekom là nhà cung cấp dịch vụ viễn thông cho khoảng 20 triệu khách hàng, đã xác nhận có đến 900.000 khách hàng bị mất kết nối Internet vào ngày 27-28/11/2016. Các bộ định tuyến này được cho là tồn tại lỗ hổng có thể cho phép thực thi mã từ xa được tạo ra bởi Zyxel và Speedport, cổng 7547 được mở để nhận lệnh dựa trên TR-069 (cùng họ với giao thức TR-064), được dự định sử dụng bởi ISP để quản lý các thiết bị từ xa.

Gần một triệu thiết bị định tuyến bị tấn công

Theo trang tìm kiếm Shodan, có khoảng 41 triệu thiết bị để ngỏ cổng 7547, trong khi khoảng 5 triệu thiết bị để lộ thông tin về các dịch vụ TR-064.

Theo một công bố bởi Trung tâm Internet Storm SANS, máy chủ honeypot giả mạo là bộ định tuyến dễ bị tổn thương đã được nhận mã khai thác định kỳ 5-10 phút một lần đối với mỗi IP mục tiêu. Khi thực hiện chặn gói tin cho thấy lỗ hổng này được khai thác qua <NewNTPServer> của giao thức SOAP để tải về và thực thi file.

Các nhà nghiên cứu bảo mật tại BadCyber cũng phân tích một trong những payload độc hại và phát hiện ra rằng các cuộc tấn công có nguồn gốc từ một máy chủ C&C đã biết của Mirai.

Các cuộc tấn công được bắt đầu vào đầu tháng 10/2016, khi mã nguồn của Mirai được công khai, mẫu phần mềm độc hại cho IoT được thiết kế để quét các thiết bị IoT không an toàn - chủ yếu là các bộ định tuyến, máy ảnh, DVR và biến chúng thành một mạng botnet, mà sau đó được sử dụng trong các cuộc tấn công DDoS.

Tin tặc đã tạo ra ba mã khai thác riêng biệt để lây nhiễm cho ba kiến trúc khác nhau: hai mã dành cho các loại chip MIPS và một với ARM.

Các payload độc hại truy cập giao diện quản trị từ xa và sau đó cố gắng đăng nhập bằng ba loại mật khẩu mặc định. Sau đó, đóng cổng 7547 để ngăn chặn kẻ tấn công khác kiểm soát của các thiết bị bị nhiễm.

Deutsche Telekom đã ban hành một bản vá khẩn cấp cho hai model của bộ định tuyến băng thông rộng Speedport của hãng là Speedport W 921V và Speedport W 723V Loại B và hiện đang tung ra bản cập nhật firmware. Deutsche Telekom khuyến cáo khách hàng của mình tắt bộ đinh tuyến, chờ 30 giây rồi sau đó khởi động lại để thiết bị được nạp các firmware mới trong quá trình khởi động. Nếu router không kết nối vào mạng của công ty, người dùng được khuyên nên thường xuyên ngắt kết nối thiết bị.

‹ › ×

Tin liên quan

Xây dựng hệ thống phát hiện mã độc trong thiết bị định tuyến dựa trên mô phỏng

09:00 | 09/01/2018

CSKH-01.2017 - (Tóm tắt) Song hành cùng cuộc cách mạng công nghiệp lần thứ 4 là sự phát triển mạng lưới kết nối các thiết bị IoT. Để đảm bảo sự thông suốt trong toàn bộ quá trình trao đổi thông tin giữa các thiết bị IoT, thì thiết bị định tuyến đóng vai trò then chốt. Do đó, thiết bị định tuyến đã và đang trở thành mục tiêu tấn công phổ biến của tin tặc. Điều này dẫn tới nguy cơ không chỉ mất an toàn thông tin của thiết bị IoT nói riêng mà còn là nguy cơ gây mất an toàn, an ninh mạng nói chung. Trong bài báo này, nhóm tác giả đề xuất một phương pháp mô phỏng đầy đủ nhằm thu thập dữ liệu hoạt động của phần sụn (firmware) để phát hiện mã độc trong các thiết bị định tuyến.

Singapore thắt chặt yêu cầu bảo mật đối với các thiết bị định tuyến gia đình mới

14:00 | 20/11/2020

Cơ quan Phát triển phương tiện thông tin truyền thông (IMDA) của Singapore vừa ra công bố yêu cầu bảo mật tiên tiến đối với thiết bị định tuyến gia đình bán ra tại Singapore.

Tin cùng chuyên mục

Giải mã biến thể mới của Trojan ngân hàng Mispadu khai thác lỗ hổng Windows SmartScreen

11:00 | 29/02/2024

Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.

Tin tặc phát tán phần mềm độc hại qua thiết bị USB trên các nền tảng trực tuyến

10:00 | 21/02/2024

Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.

Lỗ hổng glibc cho phép tin tặc chiếm quyền root trên các bản phân phối chính của Linux

14:00 | 19/02/2024

Tin tặc có thể giành quyền truy cập root trên nhiều bản phân phối chính của Linux trong cấu hình mặc định bằng cách khai thác lỗ hổng leo thang đặc quyền cục bộ mới được tiết lộ trong Thư viện GNU C (glibc).

Lỗ hổng Terrapin mới cho phép tin tặc hạ cấp bảo mật giao thức SSH

08:00 | 11/01/2024

Các nhà nghiên cứu bảo mật từ Đại học Ruhr Bochum (Đức) phát hiện ra một lỗ hổng trong giao thức mạng mật mã Secure Shell (SSH) có thể cho phép kẻ tấn công hạ cấp bảo mật của kết nối bằng cách phá vỡ tính toàn vẹn của kênh an toàn.