Gần một triệu thiết bị định tuyến bị tấn công

08:29 | 15/12/2016

Mạng botnet Mirai ngày càng phát triển và trở nên nguy hiểm hơn, bởi nó có khả năng lây nhiễm trên các thiết bị IoT.

Tháng 10/2016, mạng botnet Mirai đã gây ra cuộc tấn công DDoS lớn nhất từ trước đến nay, làm tê liệt một số trang web lớn và phổ biến nhất trên thế giới.

Mới đây nhất, hơn 900.000 thiết bị định tuyến băng thông rộng (broadband routers) của nhà cung cấp dịch vụ viễn thông Deutsche Telekom, Đức đã bị ngưng trệ hoạt động sau một cuộc tấn công gây ảnh hưởng đến hệ thống điện thoại, truyền hình và dịch vụ Internet của nước này.

Deutsche Telekom là nhà cung cấp dịch vụ viễn thông cho khoảng 20 triệu khách hàng, đã xác nhận có đến 900.000 khách hàng bị mất kết nối Internet vào ngày 27-28/11/2016. Các bộ định tuyến này được cho là tồn tại lỗ hổng có thể cho phép thực thi mã từ xa được tạo ra bởi Zyxel và Speedport, cổng 7547 được mở để nhận lệnh dựa trên TR-069 (cùng họ với giao thức TR-064), được dự định sử dụng bởi ISP để quản lý các thiết bị từ xa.



Theo trang tìm kiếm Shodan, có khoảng 41 triệu thiết bị để ngỏ cổng 7547, trong khi khoảng 5 triệu thiết bị để lộ thông tin về các dịch vụ TR-064.

Theo một công bố bởi Trung tâm Internet Storm SANS, máy chủ honeypot giả mạo là bộ định tuyến dễ bị tổn thương đã được nhận mã khai thác định kỳ 5-10 phút một lần đối với mỗi IP mục tiêu. Khi thực hiện chặn gói tin cho thấy lỗ hổng này được khai thác qua <NewNTPServer> của giao thức SOAP để tải về và thực thi file.

Các nhà nghiên cứu bảo mật tại BadCyber cũng phân tích một trong những payload độc hại và phát hiện ra rằng các cuộc tấn công có nguồn gốc từ một máy chủ C&C đã biết của Mirai.

Các cuộc tấn công được bắt đầu vào đầu tháng 10/2016, khi mã nguồn của Mirai được công khai, mẫu phần mềm độc hại cho IoT được thiết kế để quét các thiết bị IoT không an toàn - chủ yếu là các bộ định tuyến, máy ảnh, DVR và biến chúng thành một mạng botnet, mà sau đó được sử dụng trong các cuộc tấn công DDoS.

Tin tặc đã tạo ra ba mã khai thác riêng biệt để lây nhiễm cho ba kiến trúc khác nhau: hai mã dành cho các loại chip MIPS và một với ARM.



Các payload độc hại truy cập giao diện quản trị từ xa và sau đó cố gắng đăng nhập bằng ba loại mật khẩu mặc định. Sau đó, đóng cổng 7547 để ngăn chặn kẻ tấn công khác kiểm soát của các thiết bị bị nhiễm.

Deutsche Telekom đã ban hành một bản vá khẩn cấp cho hai model của bộ định tuyến băng thông rộng Speedport của hãng là Speedport W 921V và Speedport W 723V Loại B và hiện đang tung ra bản cập nhật firmware. Deutsche Telekom khuyến cáo khách hàng của mình tắt bộ đinh tuyến, chờ 30 giây rồi sau đó khởi động lại để thiết bị được nạp các firmware mới trong quá trình khởi động. Nếu router không kết nối vào mạng của công ty, người dùng được khuyên nên thường xuyên ngắt kết nối thiết bị.