Tấn công DDoS nguy hiểm hơn bởi thiết bị IoT

09:18 | 31/10/2016

Các botnet điều khiển một lượng lớn thiết bị IoT không được bảo mật tốt được dự báo có thể đánh sập bất cứ thứ gì trên Internet với độ hủy hoại lên tới hàng terabit mỗi giây.


 
Nhiều năm trước, các chuyên gia nghiên cứu bảo mật từng cảnh báo về khả năng an toàn hạn chế của thiết bị IoT có thể gây ra hậu quả nghiêm trọng. Hiện nay, những cảnh báo đó đang dần trở thành sự thật với hàng loạt botnet (mạng những máy tính nhiễm độc) được tạo thành từ các thiết bị IoT bị tổn hại, có khả năng mở đầu cho các cuộc tấn công từ chối dịch vụ (DDoS) với quy mô lớn chưa từng có.
 
Ông Octave Klaba, sáng lập viên kiêm Giám đốc công nghệ (CTO) của công ty cung cấp hosting OVH (Pháp) đã cảnh báo trên Twitter khi OVH phải hứng chịu đồng thời 2 đợt tấn công DDoS, khiến băng thông kết hợp đạt đến gần 1 terabit mỗi giây. Trong đó, một cuộc tấn công đạt "đỉnh" 799 Gbps, thông số được ghi nhận là lớn nhất từ trước tới nay.
 
Theo ông Klaba, cuộc tấn công nhắm vào các máy chủ lưu trữ Minecraft trên dịch vụ mạng của OVH, nguồn gốc của lưu lượng truy cập “rác” là 1 botnet tạo thành từ khoảng 145.607 thiết bị ghi hình kỹ thuật số (DVR) và IP camera bị điều khiển. Ông Klaba còn cảnh báo với khả năng tạo ra lưu lượng truy cập từ 1-30 Mbps từ từng địa chỉ IP, botnet nói trên có thể mở đầu các cuộc tấn công DDoS vượt ngưỡng 1,5 Tbps.
 
Được biết, ngay trước vụ OVH bị botnet tấn công, ngày 20/9/2016, trang blog cá nhân krebsonsecurity.com của nhà báo công nghệ Brian Krebs đã bị tấn công DDoS, kỷ lục đạt ngưỡng 620 Gbps. Cuộc tấn công gây ảnh hưởng mạnh đến nỗi khiến nhà cung cấp dịch vụ bảo mật Akamai phải hạ trang web này trong nhiều ngày. Theo ông Krebs thì đây là cuộc tấn công có quy mô lớn gần gấp đôi so với cuộc tấn công lớn nhất mà Akamai từng gặp trước kia và có khả năng gây thiệt hại hàng triệu USD nếu tái diễn.
 
Trong một bài viết sau khi blog hoạt động trở lại, ông Krebs nói rằng, có dấu hiệu cho thấy cuộc tấn công có sự giúp sức của một botnet đã làm chủ một số lượng lớn các thiết bị IoT như bộ định tuyến (router), IP camera và DVR. Các thiết bị này kết nối với Internet nhưng chỉ được bảo vệ bằng mật khẩu mã hóa cứng (hard-coded password) hoặc mật khẩu yếu.
 
Ngày 22/9/2016, hãng bảo mật Symantec đưa ra một cảnh báo rằng các thiết bị IoT không an toàn đang ngày càng bị tấn công nhiều và bị điều khiển để khởi động các cuộc tấn công DDoS. Symantec nhận định, một lượng lớn các chương trình mã độc (malware) nhắm vào mục đích DDoS có thể đã lây nhiễm nhiều hệ thống chạy trên nền Linux từ năm 2015 và sẽ tiếp tục tăng mạnh trong năm nay. Những mối nguy hại này được lập trình để chạy trên firmware nền Linux cho các kiến trúc CPU thường dùng trong các thiết bị nhúng và IoT.
 
Báo cáo của Symantec cũng cho biết, hầu hết hệ thống này không bị xâm nhập qua các lỗ hổng tinh vi, mà là do thiếu những bước bảo mật cơ bản. Nhờ vào sự phổ biến của Internet, những kẻ tấn công thường tìm kiếm các thiết bị mở sẵn cổng Telnet hay SSH, và cố gắng đăng nhập với thông tin quản trị mặc định. Chỉ đơn giản như thế, chúng đã có thể xây dựng một mạng lưới botnet IoT rộng khắp như ngày nay.
 
Khi mà các cuộc tấn công DDoS dùng sức mạnh IoT bắt đầu đạt đến tầm không thể kiểm soát được, thì những dấu hiệu cảnh báo trước kia đang dần hiện rõ.
 
Đơn cử, hồi tháng 10/2015, hãng bảo mật Incapsula đối mặt với cuộc tấn công DDoS xuất phát từ khoảng 900 camera quan sát CCTV (closed-circuit television camera). Đến tháng 6/2016, Arbor Networks - nhà cung cấp dịch vụ bảo vệ trước DDoS cũng cảnh báo hiện có hơn 100 botnet đã được xây dựng bằng nhiều thiết bị nhúng bị nhiễm mã độc nền Linux.