Gần một triệu thiết bị định tuyến bị tấn công

08:02 | 15/12/2016 | HACKER / MALWARE

Mạng botnet Mirai ngày càng phát triển và trở nên nguy hiểm hơn, bởi nó có khả năng lây nhiễm trên các thiết bị IoT.

Tháng 10/2016, mạng botnet Mirai đã gây ra cuộc tấn công DDoS lớn nhất từ trước đến nay, làm tê liệt một số trang web lớn và phổ biến nhất trên thế giới.

Mới đây nhất, hơn 900.000 thiết bị định tuyến băng thông rộng (broadband routers) của nhà cung cấp dịch vụ viễn thông Deutsche Telekom, Đức đã bị ngưng trệ hoạt động sau một cuộc tấn công gây ảnh hưởng đến hệ thống điện thoại, truyền hình và dịch vụ Internet của nước này.

Deutsche Telekom là nhà cung cấp dịch vụ viễn thông cho khoảng 20 triệu khách hàng, đã xác nhận có đến 900.000 khách hàng bị mất kết nối Internet vào ngày 27-28/11/2016. Các bộ định tuyến này được cho là tồn tại lỗ hổng có thể cho phép thực thi mã từ xa được tạo ra bởi Zyxel và Speedport, cổng 7547 được mở để nhận lệnh dựa trên TR-069 (cùng họ với giao thức TR-064), được dự định sử dụng bởi ISP để quản lý các thiết bị từ xa.

Gần một triệu thiết bị định tuyến bị tấn công

Theo trang tìm kiếm Shodan, có khoảng 41 triệu thiết bị để ngỏ cổng 7547, trong khi khoảng 5 triệu thiết bị để lộ thông tin về các dịch vụ TR-064.

Theo một công bố bởi Trung tâm Internet Storm SANS, máy chủ honeypot giả mạo là bộ định tuyến dễ bị tổn thương đã được nhận mã khai thác định kỳ 5-10 phút một lần đối với mỗi IP mục tiêu. Khi thực hiện chặn gói tin cho thấy lỗ hổng này được khai thác qua <NewNTPServer> của giao thức SOAP để tải về và thực thi file.

Các nhà nghiên cứu bảo mật tại BadCyber cũng phân tích một trong những payload độc hại và phát hiện ra rằng các cuộc tấn công có nguồn gốc từ một máy chủ C&C đã biết của Mirai.

Các cuộc tấn công được bắt đầu vào đầu tháng 10/2016, khi mã nguồn của Mirai được công khai, mẫu phần mềm độc hại cho IoT được thiết kế để quét các thiết bị IoT không an toàn - chủ yếu là các bộ định tuyến, máy ảnh, DVR và biến chúng thành một mạng botnet, mà sau đó được sử dụng trong các cuộc tấn công DDoS.

Tin tặc đã tạo ra ba mã khai thác riêng biệt để lây nhiễm cho ba kiến trúc khác nhau: hai mã dành cho các loại chip MIPS và một với ARM.

Các payload độc hại truy cập giao diện quản trị từ xa và sau đó cố gắng đăng nhập bằng ba loại mật khẩu mặc định. Sau đó, đóng cổng 7547 để ngăn chặn kẻ tấn công khác kiểm soát của các thiết bị bị nhiễm.

Deutsche Telekom đã ban hành một bản vá khẩn cấp cho hai model của bộ định tuyến băng thông rộng Speedport của hãng là Speedport W 921V và Speedport W 723V Loại B và hiện đang tung ra bản cập nhật firmware. Deutsche Telekom khuyến cáo khách hàng của mình tắt bộ đinh tuyến, chờ 30 giây rồi sau đó khởi động lại để thiết bị được nạp các firmware mới trong quá trình khởi động. Nếu router không kết nối vào mạng của công ty, người dùng được khuyên nên thường xuyên ngắt kết nối thiết bị.

‹ › ×

Tin liên quan

Xây dựng hệ thống phát hiện mã độc trong thiết bị định tuyến dựa trên mô phỏng

09:00 | 09/01/2018

CSKH-01.2017 - (Tóm tắt) Song hành cùng cuộc cách mạng công nghiệp lần thứ 4 là sự phát triển mạng lưới kết nối các thiết bị IoT. Để đảm bảo sự thông suốt trong toàn bộ quá trình trao đổi thông tin giữa các thiết bị IoT, thì thiết bị định tuyến đóng vai trò then chốt. Do đó, thiết bị định tuyến đã và đang trở thành mục tiêu tấn công phổ biến của tin tặc. Điều này dẫn tới nguy cơ không chỉ mất an toàn thông tin của thiết bị IoT nói riêng mà còn là nguy cơ gây mất an toàn, an ninh mạng nói chung. Trong bài báo này, nhóm tác giả đề xuất một phương pháp mô phỏng đầy đủ nhằm thu thập dữ liệu hoạt động của phần sụn (firmware) để phát hiện mã độc trong các thiết bị định tuyến.

Singapore thắt chặt yêu cầu bảo mật đối với các thiết bị định tuyến gia đình mới

14:00 | 20/11/2020

Cơ quan Phát triển phương tiện thông tin truyền thông (IMDA) của Singapore vừa ra công bố yêu cầu bảo mật tiên tiến đối với thiết bị định tuyến gia đình bán ra tại Singapore.

Tin cùng chuyên mục

Kho lưu trữ PyPI phân phối phần mềm độc hại WhiteSnake

08:00 | 10/02/2024

Các nhà nghiên cứu an ninh mạng của hãng bảo mật Fortinet (Mỹ) đã xác định được các gói độc hại trên kho lưu trữ Python Package Index (PyPI) mã nguồn mở nhằm phân phối phần mềm độc hại đánh cắp thông tin có tên là WhiteSnake trên hệ thống Windows. Bài viết này tập trung phân tích một số payload trên các gói trong kho lưu trữ PyPI.

Lỗ hổng Windows SmartScreen bị khai thác để phát tán phần mềm độc hại Phemedrone

11:00 | 25/01/2024

Chiến dịch phát tán phần mềm độc hại Phemedrone (chiến dịch Phemedrone) thực hiện khai thác lỗ hổng Microsoft Defender SmartScreen (CVE-2023-36025) để bỏ qua cảnh báo bảo mật của Windows khi mở tệp URL.

Phát hiện kỹ thuật khai thác mới cho phép kẻ tấn công vượt qua các biện pháp bảo mật

07:00 | 18/01/2024

Một kỹ thuật khai thác mới có tên là SMTP Smuggling có thể được tin tặc sử dụng để gửi email giả mạo có địa chỉ người gửi giả và vượt qua các biện pháp bảo mật.

Phân tích LitterDrifter: Worm độc hại được tin tặc Nga sử dụng trong các cuộc tấn công gián điệp mạng nhắm vào Ukraine

14:00 | 23/11/2023

Mới đây, các nhà nghiên cứu của hãng bảo mật Check Point đã phát hiện chiến dịch gián điệp mạng được thực hiện bởi nhóm tin tặc Gamaredon có liên hệ với Cơ quan An ninh Liên bang Nga (FSB), bằng cách sử dụng một loại Worm lây lan qua thiết bị USB có tên là LitterDrifter trong các cuộc tấn công nhắm vào các thực thể tại Ukraine. Bài viết này tập trung vào phân tích LitterDrifter cũng như cơ sở hạ tầng của máy chủ điều khiển và kiểm soát (C2) của phần mềm độc hại này.