Botnet IoT lây nhiễm 100,000 bộ định tuyến để gửi thư rác đến Hotmail, Outlook, và Yahoo

Diễn đàn - Ngày đăng : 21:17, 12/11/2018

Các nhà nghiên cứu đã phát hiện ra một botnet mới nhắm vào bộ định tuyến của bạn để gửi email spam. Khoảng 100.000 bộ định tuyến trên toàn thế giới hiện đang bị nhiễm, với một phân phối lớn các thiết bị bị ảnh hưởng ở Ấn Độ, Trung Quốc và Hoa Kỳ. Tin tặc đang sử dụng một tập lệnh phức tạp để thực hiện cuộc tấn công của mình.

email-pam.png

Một hacker đã khai thác lỗ hổng năm tuổi trong các bộ định tuyến gia đình để tạo ra một botnet ảnh hưởng đến khoảng 100.000 bộ định tuyến gia đình. Botnet được phát hiện lần đầu vào tháng 9 bởi các nhà nghiên cứu từ nhóm Netlab tại Qihoo 360, một công ty bảo mật Internet của Trung Quốc, và có khả năng là hacker đang tận dụng mạng lưới các bộ định tuyến bị xâm phạm này để gửi thư rác.

Botnet được xây dựng trên một lỗ hổng 2013 trên SDK UPnP của Broadcom. SDK này, được sử dụng trên nhiều bộ định tuyến, cho phép kẻ tấn công thực hiện một cuộc tấn công từ xa và thực thi mã độc hại mà không yêu cầu bất kỳ xác thực nào. “Đây là loại lỗ hổng tồi tệ nhất tồn tại trong thế giới của các thiết bị kết nối Internet”, ZDNet đưa tin.

Mặc dù botnet mới nhất này, được gọi là BCMUPnP_Hunter, không phải là người đầu tiên khai thác lỗ hổng này, nó là người đầu tiên sử dụng những gì dường như là mã nguồn mới để lây nhiễm các bộ định tuyến. Hầu hết các botnet Internet of Things ngày nay sử dụng mã đã bị rò rỉ trực tuyến để thực hiện các cuộc tấn công của họ, nhưng các nhà nghiên cứu cho rằng họ không thấy mã tương tự với mã được sử dụng trên BCMUPnP_Hunter, cho thấy hacker đang tạo mã mới cho cuộc tấn công. Trước BCMUPnP_Hunter, một phần mềm độc hại được báo cáo rộng rãi của Nga đã lây nhiễm các bộ định tuyến trên toàn thế giới, khiến FBI đưa ra cảnh báo cho người tiêu dùng về việc thiết lập lại các bộ định tuyến của họ.

Trong việc thực hiện cuộc tấn công, nhà nghiên cứu bảo mật Netlab Hui Wang cho biết trong một bài đăng trên blog rằng bot “phải trải qua nhiều bước để lây nhiễm một mục tiêu tiềm năng”.

Proxy có thể giao tiếp với các máy chủ thư phổ biến, chẳng hạn như Outlook, Hotmail và Yahoo! Thư. Bởi vì điều này, nhóm của Wang tin rằng kẻ tấn công đang sử dụng botnet để gửi spam. Ngoài ra, số lượng các bộ định tuyến bị ảnh hưởng đã tăng trưởng đều đặn trong vài tháng qua, với khả năng lây nhiễm 400.000 bộ định tuyến. “Nhìn chung, chúng tôi có 3.37 triệu IP nguồn quét độc đáo”, Wang nói. "Đó là một số lượng lớn, nhưng có khả năng là các IP của cùng một thiết bị bị nhiễm chỉ thay đổi theo thời gian."

BCMUPnP_Hunter ảnh hưởng đến các bộ định tuyến trên toàn thế giới với tính năng UPnP của Broadcom được kích hoạt, nhưng Ấn Độ, Trung Quốc và Hoa Kỳ là một trong những mục tiêu lớn nhất. Bản sửa lỗi chưa được báo cáo để chống lại sự lây nhiễm botnet mới nhất này.

Hòa Đoàn, Trương Khánh Hợp