Botnet IoT được sử dụng trong các tấn công website
An toàn thông tin - Ngày đăng : 09:22, 12/12/2017
Các nhà nghiên cứu bảo mật của Doctor Web cảnh báo, một loại botnet trên các thiết bị IoT dựa trên Linux hiện đang được sử dụng trong một chiến dịch tấn công các website.
Có tên gọi Linux.ProxyM, loại phần mềm độc hại này xuất hiện từ tháng 2 năm nay và trước đó đã từng được sử dụng trong những chiến dịch spam. Trojan được thiết kế để khởi chạymáy chủ proxy SOCKS trên những thiết bị bị ảnh hưởng và cho phép tin tặckhai thác proxy để thực hiện các hoạt động bất hợp pháp.
Đến nay, phần mềm độc hại này đang nhắm mục tiêu vào các thiết bị có những kiến trúc sau: x86, MIPS, MIPSEL, PowerPC, ARM, Superh, Motorola 68000 và SPARC. Về cơ bản, nó có thể lây nhiễm “hầu hết bất kỳ thiết bị Linux nào, bao gồm bộ định tuyến (routers), hộp set-top box và các thiết bị tương tự khác”, các nhà nghiên cứu cho biết.
Theo Doctor Web, các chiến dịch mã độc trước đó lợi dụng botnet để gửi những email spam. Trong tháng 9 vừa qua, mỗi thiết bị bị nhiễm tạo ra gần 400 tin nhắn/ngày.
Ngay sau đó, bot bắt đầu gửi thư thông điệp lừa đảo. Các email được cho là đến từ DocuSign, một dịch vụ cung cấp cho người dùng những khả năng tải về (download), xem, chữ ký và theo dõi các tài liệu điện tử.
Các thông điệp lừa đảo bao gồm một liên kết tới trang DocuSign giả mạodưới hình thức được ủy quyền để lừa người dùng nhập thông tin cá nhân. Sau đó, nạn nhân được chuyển hướng tới trang DocuSign hợp pháp trong khi chi tiết đăng nhập của họ đã được gửi tới tin tặc.
Vào tháng 12, máy chủ proxy của Linux.ProxyM đã bắt đầu được sử dụng để tấn công các trang web thông qua nhiều phương pháp khác nhau, bao gồm chèn mã SQL, chèn mã độc vào trang web (Cross-Site Scripting), chèn tập tin từ nội bộ (Local File Inclusion - LFI). Hoạt đông của các botnet đang hoạt động nhắm mục tiêu vào các máy chủ game, các diễn đàn và các tài nguyên khác, bao gồm cả những trang web của Nga.
Vào ngày 7 tháng 12, các nhà nghiên cứu bảo mật đã quan sát được 20.000 cuộc tấn công do botnet gây ra. Khoảng 1 tháng trước, botnet đã tung ra gần 40.000 cuộc tấn công mỗi ngày.
Doctor Web lưu ý rằng: "Mặc dù Linux.ProxyM chỉ có một tính năng – một máy chủ proxy – nhưng tội phạm mạng vẫn đang tiếp tục tìm ra những cơ hội mới để sử dụng nó cho các hoạt động bất hợp pháp và có vẻ chúng càng quan tâm tới IoT”.