Biến thể Mirai đang quay trở lại tấn công các doanh nghiệp
An toàn thông tin - Ngày đăng : 15:58, 21/03/2019
Một biến thể mới của botnet Mirai, đang đặt các doanh nghiệp bị tấn công dưới biểu tượng hình chữ thập của nó, đã được phát hiện bởi các nhà nghiên cứu bảo mật.
Mirai lần đầu làm rung chuyển thế giới vào năm 2016 và được biết đến là cuộc tấn công DDoS tồi tệ nhất trong lịch sử.
Ba năm sau, Mirai đã trở lại, theo các chuyên gia từ Unit 42, bộ phận bảo mật của Palo Alto Networks. Nó đi kèm với một kho vũ khí được tăng cường các tính năng làm tăng bề mặt tấn công của botnet, nhưng nó có một chiến lược tấn công được sửa đổi.
Mirai vẫn là một mạng botnet được thiết kế để khai thác các thiết bị IoT, nhưng trong lần xuất hiện mới nhất, nó tìm kiếm các thiết bị kinh doanh dễ bị tấn công - cụ thể là hệ thống thuyết trình không dây và TV được sử dụng để trình bày trong phòng với nhiều khách hàng, đối tác và đồng nghiệp.
Jamo Niemela, nhà nghiên cứu chính của F-safe, cho biết: "Mirai mới này là một ví dụ hoàn hảo về lý do tại sao mọi tổ chức cần lập bản đồ mạng của họ từ tầm nhìn bên ngoài và đóng mọi thứ mở. Các loại thiết bị mới mà Mirai tấn công không có khả năng hiển thị trên Internet."
Hệ thống trình bày không dây WePftime WiPG-1000 và LG Supersign TV là hai thiết bị được các nhà nghiên cứu chọn ra vì dễ bị tấn công nhất.
Ruchna Nigam, nhà nghiên cứu mối đe dọa cấp cao tại Unit 42 cho biết: "Sự phát triển này cho chúng ta thấy một sự thay đổi tiềm năng trong việc sử dụng Mirai để nhắm mục tiêu vào các doanh nghiệp".
"Trường hợp trước đây, chúng tôi quan sát các lỗ hổng doanh nghiệp bị nhắm mục tiêu botnet là với sự kết hợp của các khai thác chống lại Apache Struts và SonicWall."
Biến thể mới của Mirai bao gồm các khai thác mới trong pin multi-exploit cũng như thông tin đăng nhập mới để sử dụng trong các cuộc tấn công của nó. Ngoài ra, các mã độc hại đi kèm theo nó được lưu trữ tại một trang web kinh doanh bị xâm nhập có trụ sở tại Colombia.
Nigam lưu ý, “Với những tính năng mới này, chúng mang lại cho Mirai một bề mặt tấn công lớn hơn trước. Bằng cách nhắm mục tiêu vào các công ty có băng thông trải dài trên hệ thống mạng của họ. Sự kết hợp này có thể tạo điều kiện cho các cuộc tấn công DDoS quy mô lớn hơn nhiều”.
"Những phát triển này nhấn mạnh tầm quan trọng để các doanh nghiệp nhận thức được các thiết bị IoT trên mạng của họ có nguy cơ bị tấn công ra sao, do vậy họ cần thay đổi mật khẩu mặc định, đảm bảo rằng các thiết bị được cập nhật đầy đủ trên các bản vá lỗi", Nigam nói thêm.
"Và trong trường hợp các thiết bị không thể vá lỗi được, hãy xóa các thiết bị đó khỏi hệ thống mạng như là phương sách cuối cùng."
Tháng 9 năm ngoái, Mirai được phát hiện bởi Unit 42 khi đang cố gắng nhắm mục tiêu vào các mạng doanh nghiệp. Như đã lưu ý ở trên, biến thể trước đó nhắm vào lỗ hổng Apache Struts tương tự mà tin tặc đã sử dụng để thực hiện hành vi vi phạm dữ liệu Equult.
Mirai đã bị quy cho một loạt các cuộc tấn công mạng kể từ khi ba người Mỹ hai mươi tuổi phát động nó vào năm 2016. FBI đã nói rằng họ tin rằng bộ ba không liên quan đến vụ tấn công Dyn lớn năm 2016, nhưng Mirai ít nhất là một phần của cuộc tấn công đã tấn công nhà cung cấp DNS và các công ty công nghệ lớn nhất thế giới.