Biến thể Mirai mới nhắm mục tiêu vào các thiết bị IoT của doanh nghiệp
Diễn đàn - Ngày đăng : 08:09, 22/03/2019
Được biết đến nhiều nhất là các cuộc tấn công lớn vào OVH và Dyn hồi cuối năm 2016, Mirai là một phần mềm độc hại Linux nhắm mục tiêu vào các thiết bị IoT nhằm biến những thiết bị này thành các botnet có khả năng khởi động các cuộc tấn công từ chối dịch vụ phân tán (DDoS).
Vô số biến thể của phần mềm độc hại này đã xuất hiện kể từ khi mã nguồn của Mirai bị rò rỉ vào tháng 10/2016, bao gồm Wicked, Satori, Okiru, Masuta…. Một biến thể được quan sát hồi năm ngoái đã lợi dụng dự án nguồn mở để trở thành đa nền tảng và nhắm mục tiêu vào nhiều kiến trúc bao gồm ARM, MIPS, PowerPC và x86.
Các nhà nghiên cứu bảo mật của Palo Alto Networks phát hiện ra rằng, biến thể mới của botnet nhắm mục tiêu vào những thiết bị nhúng như các bộ định tuyến (routers), các thiết bị lưu trữ mạng, đầu ghi hình camera IP qua mạng internet (Nework Video Recorder - NVR), camera IP và chúng sử dụng nhiều khai thác khác nhau. Biến thể này cố gắng đánh lừa hệ thống trình chiếu không dây WiPG-1000 và LG Supersign TVs, hai thiết bị được sử dụng trong các môi trường doanh nghiệp.
Palo Alto Networks lưu ý: “Sự phát triển này cho chúng ta thấy tiềm ẩn một sự thay đổi mà Mirai sử dụng để nhắm mục tiêu vào các doanh nghiệp. Trước đây chúng tôi quan sát thấy botnet nhắm mục tiêu vào các lỗ hổng của doanh nghiệp cùng với các khai thác chống lại Apache Struts và SonicWall”.
Các nhà nghiên cứu cho biết, mối đe dọa mới cũng bao gồm một số khai thác bổ sung trong phạm vi tấn công. Trong số 27 khai thác có trong phần mềm độc hại thì 11 Mirai mới và chúng còn có thể lợi dụng một số thông tin đăng nhập khi cố gắng tấn công brute force(kiểu tấn công được dùng cho tất cả các loại mã hóa) các thiết bị.
Theo Palo Alto Networks: “Những phát triển này nhấn mạnh tầm quan trọng của các doanh nghiệp trong việc nhận thức về thiết bị IoT trên mạng của họ. Doanh nghiệp cần thay đổi mật khẩu mặc định, đảm bảo rằngthiết bị của mình được cập nhật đầy đủ các bản vá. Và trong trường hợp thiết bị không thể vá được thì hãy loại bỏ chúng khỏi mạng như một giải pháp cuối cùng”.
Mối đe dọa mới sử dụng đặc điểm sơ đồ mã hóa giống như Mirai, cho phép các nhà nghiên cứu khám phá một số thông tin mặc định mới mà nó nhắm tới. Mã độc có thể quét các thiết bị dễ bị tấn công và cũng có khả năng khởi chạy những tấn công DDoS HTTP Flood. Tải (payload) cuả tập lệnh shell được lưu trữ tại trang web bị xâm nhập cho một doanh nghiệp “an toàn điện tử, giám sát tích hợp và báo động” tại Colombia.
Các nhà nghiên cứu phát hiện ra rằng các mẫu được phát hiện nạp cùng một payload được lưu trữ tại cùng một IP đã lưu một số mẫu Gafyt chỉ một vài ngày trước đó và chúng có cùng tên với các nhị phân được lấy bởi tập lệnh shell.
Palo Alto Networks kết luận: “IoT/Linux tiếp tục mở rộng giao diện tấn công của chúng bằng cách kết hợp nhiều khai thác nhằm vào số lượng lớn thiết bị hoặc bằng cách thêm vào danh sách nhưng thông tin đăng nhập mặc định mà chúng tấn công brute force hoặc cả hai. Ngoài ra, việc nhắm mục tiêu vào các lỗ hổng doanh nghiệp cho phép chúng truy nhập tới những liên kết (link) có băng thông rộng hơn những liên kết trên thiết bị của khách hàng, tạo ra sức tấn công mạnh hơn cho các cuộc tấn công DDoS”.