Hàng triệu router, thiết bị IoT bị đe dọa tấn công bởi mã độc nguồn mở của Google

Kiến Lập| 19/11/2021 09:05
Theo dõi ICTVietnam trên

BotenaGo được viết bằng ngôn ngữ lập trình Golang của Google, có thể khai thác hơn 30 lỗ hổng khác nhau, tạo ra cuộc tấn công với quy mô lên đến hàng triệu thiết bị.

Hàng triệu router, thiết bị IoT bị đe dọa bởi mã độc BotenaGo - Ảnh 1.

BotenaGo được viết bằng ngôn ngữ lập trình của Google có thể tấn công hàng loạt router và thiết bị IoT. (Ảnh: AlienLabs).

Theo Threatpost, các nhà nghiên cứu vừa tìm thấy một mã độc mới, rất khó phát hiện, được viết bằng ngôn ngữ lập trình mã nguồn mở của Google, có khả năng tấn công hàng triệu router và thiết bị IoT. Sự việc này tiếp tục gióng lên hồi chuông cảnh báo trình trạng bảo mật lỏng lẽo trên các thiết bị thông minh có kết nối mạng.

Được phát hiện bởi các nhà nghiên cứu tại AT&T AlienLabs, BotenaGo có thể khai thác hơn 30 lỗ hổng khác nhau để tấn công một mục tiêu. Ofer Caspi, một chuyên gia bảo mật của Alien Labs, đã công bố kết quả tìm hiểu bước đầu trên blog hôm 11/11.

Hiện tại mã độc này vẫn chưa được các phần mềm diệt virus phân loại. Trong kịch bản của các nhà nghiên cứu, BotenaGo có thể lây nhiễm cho gần 2 triệu thiết bị chỉ bằng một phương thức tấn công.

Nguy cơ lây lan rộng

Mã độc được viết bằng Golang —một ngôn ngữ lập trình do Google giới thiệu lần đầu tiên vào năm 2007. Theo mô tả của Ofer Caspi, BotenaGo hoạt động bằng cách tạo một cửa hậu trên thiết bị, sau đó chờ nhận lệnh tấn công của người điều khiển từ xa thông qua cổng 19412 hoặc từ một module liên quan khác đang chạy trên cùng thiết bị.

Golang, còn được gọi là Go, ra đời nhằm mục đích đơn giản hóa cách xây dựng phần mềm. Các nhà phát triển có thể biên dịch nhanh chóng cùng một mã nguồn cho các hệ thống khác nhau. Tính năng này là lý do khiến cho tin tặc ưa thích sử dụng Go để phát triển virus trong thời gian gần đây. Những kẻ tấn công dễ dàng phát tán mã độc trên nhiều hệ điều hành.

Hàng triệu router, thiết bị IoT bị đe dọa bởi mã độc BotenaGo - Ảnh 2.

Đa số các phần mềm bảo mật hiện nay chưa phát hiện ra BotenaGo, hoặc nhận nhầm biến thể của mã độc cũ. Ảnh: AlienLabs.

Theo nghiên cứu từ công ty phân tích bảo mật Intezer, lượng mã độc viết bằng Go được tìm thấy trong thực tế đã tăng đến 2.000%.

Đến thời điểm này, các chuyên gia tại AlienLabs chưa xác định được mối đe dọa hoặc tác nhân nào đã phát triển BotenaGo, cũng như quy mô đầy đủ của những thiết bị dễ bị tấn công bởi phần mềm độc hại. Các biện pháp bảo vệ chống virus hiện có dường như không phát hiện ra BotenaGo, hoặc đôi khi xác định nhầm nó là một biến thể của mã độc Mirai.

Quy trình thiết lập cuộc tấn công

Theo mô tả của Caspi, BotenaGo bắt đầu công việc với một số động thái thăm dò để xem thiết bị có dễ bị tấn công hay không. Mã độc sẽ khởi tạo các bộ đếm lây nhiễm toàn cầu, thông báo cho tin tặc về tổng số lần lây nhiễm thành công. Sau đó, nó sẽ tìm kiếm thư mục 'dlrs' để tải các tệp script shell. Nếu thư mục này bị thiếu, BotenaGo sẽ dừng quá trình lây nhiễm.

Trong bước cuối cùng trước khi kiểm soát hoàn toàn, BotenaGo gọi chức năng 'scannerInitExploits'. "Mã độc khởi tạo cuộc tấn công bằng cách ánh xạ tất cả các chức năng tấn công với chuỗi liên quan đại diện cho hệ thống được nhắm mục tiêu", Caspi cho biết.

Khi xác định rằng một thiết bị dễ tấn công, BotenaGo sẽ tiến hành khai thác bằng cách truy vấn mục tiêu, trước tiên bằng một yêu cầu đơn giản "GET". Sau đó, nó tìm kiếm dữ liệu trả về với từng dấu hiệu trong hệ thống đã được ánh xạ để tấn công các chức năng.

Các nhà nghiên cứu nêu chi tiết một số cuộc tấn công có thể được thực hiện bằng cách sử dụng truy vấn này. Chẳng hạn, phần mềm độc hại ánh xạ chuỗi "Server: Boa / 0.93.15" với hàm "main_infectFunctionGponFiber", cố gắng khai thác một mục tiêu dễ bị tấn công.

Hàng triệu router, thiết bị IoT bị đe dọa bởi mã độc BotenaGo - Ảnh 3.

Hàng triệu thiết bị có thể chịu ảnh hưởng bởi cuộc tấn công của BotenaGo. Ảnh: AlienLabs.

Điều này cho phép kẻ tấn công thực hiện lệnh hệ điều hành tùy ý trên máy chủ (OS Command), thông qua một yêu cầu web đặc biệt, bằng cách sử dụng lỗ hổng CVE-2020-8958. "Một cuộc tìm kiếm trên SHODAN đã chỉ ra gần 2 triệu thiết bị dễ bị tấn công kiểu này", Caspi chỉ ra quy mô khổng lồ của cuộc tấn công nếu tin tặc kích hoạt.

"Tổng cộng, phần mềm độc hại này khởi tạo 33 chức năng khai thác, sẵn sàng lây nhiễm cho các mục tiêu tiềm năng", Caspi viết. Danh sách đầy đủ các lỗ hổng mà BotenaGo có thể khai thác được công bố trên bài viết của nhóm AlienLabs.

Các nhà nghiên cứu nhận thấy BotenaGo có 2 cách nhận lệnh tấn công khác nhau. Đầu tiên là tạo cổng backdoor – 31421 và 19412. Đây là phương thức được sử dụng trong một kịch bản của các nhà nghiên cứu.

 "Trên cổng 19412, nó sẽ lắng nghe để nhận IP của nạn nhân. Sau khi nhận thông tin, nó sẽ kích hoạt các chức năng khai thác đã ánh xạ và thực thi chúng với IP được chỉ định", Caspi giải thích.

Cách thứ hai BotenaGo có thể nhận lệnh là từ thiết bị đầu cuối của hệ thống. "Ví dụ, nếu phần mềm độc hại đang chạy cục bộ trên một máy ảo, một lệnh có thể được gửi qua telnet", Caspi nói thêm.

Nguy cơ đối với mạng doanh nghiệp

Một chuyên gia bảo mật cho biết, với khả năng khai thác các thiết bị kết nối qua Internet, BotenaGo là mối nguy hiểm tiềm ẩn đối với các mạng công ty. Hacker có thể âm thầm xâm nhập thông qua các thiết bị dễ tổn thương và thực hiện ý đồ xấu của chúng.

"Những kẻ xấu thích khai thác các thiết bị này để xâm nhập vào hệ thống mạng bên trong hoặc sử dụng nó như một bàn đạp khởi động các cuộc tấn công khác", Erich Kron, chuyên gia bảo mật tại công ty an ninh mạng KnowBe4, nêu ý kiến.

Ông cũng cho rằng những đợt tấn công quy mô lớn có thể kích hoạt sau khi tin tặc chiếm được thiết bị và dọn đường cho cuộc tấn công DDoS, dẫn đến việc tống tiền nạn nhân hoặc thực hiện các hành vi phạm tội khác. Tin tặc cũng có thể lưu trữ và phát tán phần mềm độc hại bằng cách sử dụng kết nối Internet của nạn nhân.

"Với số lượng lỗ hổng mà nó có thể xâm nhập, BotenaGo cho thấy tầm quan trọng của việc giữ thiết bị IoT và router được cập nhật firmware cũng bản vá mới nhất để tránh bị khai thác", ông nói thêm.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Xây dựng hạ tầng cho mạng 5G tương lai của Việt Nam
    Đông Nam Á là một trong những khu vực có tốc độ phát triển nhanh nhất trên thế giới. Dự kiến tới năm 2030, ASEAN (gồm 10 quốc gia Đông Nam Á) sẽ trở thành nền kinh tế lớn thứ tư toàn cầu. Phần lớn động lực thúc đẩy sự phát triển này đến từ sự vận động và tăng trưởng không ngừng của nền kinh tế số trong khu vực, với giá trị ước tính lên đến gần 1 nghìn tỉ đô-la vào năm 2030.
  • 5G và những thay đổi toàn diện trong xây dựng thành phố thông minh
    Với tốc độ cực cao, độ trễ cực thấp, băng thông rộng và kết nối mật độ cực lớn, 5G là hạ tầng cốt lõi hỗ trợ toàn diện cho sự đổi mới và phát triển của thành phố thông minh trên tất cả các lĩnh vực, tác động tích cực vào công tác xây dựng và quản lý thành phố, tạo ra một môi trường sống tiện nghi, bền vững và an toàn hơn bao giờ hết.
  • Vượt qua hơn 1.000 doanh nghiệp, Bưu điện Việt Nam đạt giải Thương hiệu Quốc gia 2024
    Đây là lần thứ 2 liên tiếp Bưu điện Việt Nam vinh dự nhận giải thưởng danh giá này bởi những thành tựu lớn trong lĩnh vực logistics, bưu chính chuyển phát tại Việt Nam và Quốc tế.
  • Sắp diễn ra Lễ hội văn hoá ẩm thực Hà Nội năm 2024
    UBND TP. Hà Nội vừa ban hành Kế hoạch số 313/KH-UBND về việc tổ chức Lễ hội văn hóa ẩm thực Hà Nội năm 2024 (The HaNoi Culinary Culture Festival 2024) với chủ đề "Hà Nội kết nối năm châu".
  • Cuộc đua trung tâm dữ liệu AI tại Đông Nam Á
    Trí tuệ nhân tạo (AI) đã trở thành một động lực chính thúc đẩy đổi mới công nghệ toàn cầu và Đông Nam Á đang ngày càng khẳng định vai trò của mình trong cuộc đua phát triển AI. Hàng loạt các hãng công nghệ và đám mây lớn đã thông báo kế hoạch xây dựng, vận hành trung tâm dữ liệu mới tại Đông Nam Á.
  • Mở rộng trông xe không dùng tiền mặt mang lại lợi ích "kép"
    Việc áp dụng hình thức thanh toán qua ứng dụng thu phí không dừng VETC và mã QR vào hoạt động thanh toán phí gửi xe không dùng tiền mặt không những góp phần từng bước hình thành hệ thống giao thông thông minh mà còn tăng cường công tác quản lý nhà nước, minh bạch trong công tác thu phí dịch vụ trông giữ xe.
  • 10 xu hướng định hình tương lai của quản lý giao dịch số
    Quản lý giao dịch số đang phát triển mạnh mẽ, được thúc đẩy bởi những tiến bộ công nghệ và nhu cầu ngày càng tăng về xử lý tài liệu an toàn, hiệu quả. Đây là công cụ quan trọng giúp doanh nghiệp giảm bớt thủ tục hành chính và tối ưu hóa quy trình xử lý tài liệu số.
  • Zalo giữ vững ngôi đầu nền tảng nhắn tin được yêu thích nhất
    Ngày 5/11, theo báo cáo “The Connected Consumer Q.III/2024” mới nhất do Decision Lab công bố, Zalo tiếp tục dẫn đầu các nền tảng nhắn tin tại Việt Nam về tỷ lệ sử dụng (renetration rate) và mức độ yêu thích (preference rate).
  • Triển vọng thị trường chữ ký số toàn cầu
    Thị trường chữ ký số toàn cầu đang có ​​sự tăng trưởng chưa từng có khi các doanh nghiệp và cá nhân ngày càng áp dụng các giải pháp số để xác thực tài liệu và giao dịch an toàn.
  • ĐMST mở xã hội mang lại cho 90% doanh nghiệp cơ hội tạo giá trị kinh doanh bền vững
    Theo bà Nguyễn Phương Linh, Viện trưởng Viện MSD, hơn 90% các doanh nghiệp cho rằng đổi mới sáng tạo (ĐMST) mở xã hội mang lại cho doanh nghiệp cơ hội tạo ra giá trị kinh doanh bền vững, tác động tích cực đến xã hội và môi trường.
Hàng triệu router, thiết bị IoT bị đe dọa tấn công bởi mã độc nguồn mở của Google
POWERED BY ONECMS - A PRODUCT OF NEKO