Theo báo cáo của Trend Micro, mục đích chính của mạng botnet là xây dựng cơ sở hạ tầng cho các cuộc tấn công tiếp theo vào các mục tiêu có giá trị cao bởi không phát hiện máy chủ bị nhiễm nào thuộc các tổ chức quan trọng hoặc những tổ chức có giá trị rõ ràng về kinh tế, chính trị hoặc gián điệp quân sự.
Các cơ quan tình báo của Anh và Hoa Kỳ mô tả Cyclops Blink là một framework thay thế cho VPNFilter, một mã độc khác đã khai thác các thiết bị mạng, chủ yếu là router văn phòng (SOHO) và các thiết bị lưu trữ gắn mạng (NAS).
Cả VPNFilter và Cyclops Blink đều được cho là của hacker do Nga bảo trợ, cũng có liên quan đến một số vụ xâm nhập nổi tiếng, bao gồm cả vụ tấn công năm 2015 và 2016 nhắm vào mạng lưới điện Ukraine, cuộc tấn công NotPetya năm 2017 và cuộc tấn công của Olympic 2018 Destroyer vào Thế vận hội Olympic mùa đông.
Được viết bằng ngôn ngữ C, botnet mô-đun tiên tiến ảnh hưởng đến một số mẫu router ASUS. Cụ thể:
Bên cạnh việc sử dụng OpenSSL để mã hóa thông tin liên lạc với các máy chủ C&C, Cyclops Blink còn kết hợp các mô-đun chuyên dụng có thể đọc và ghi từ bộ nhớ flash của thiết bị, giúp nó hoạt động bền bỉ và tồn tại kể cả khi khôi phục cài đặt gốc.
Mô-đun trinh sát thứ hai đóng vai trò như một kênh để lấy thông tin từ thiết bị bị tấn công trở lại máy chủ C&C, trong khi một thành phần tải xuống tệp chịu trách nhiệm truy xuất các payload tùy ý theo tùy chọn thông qua giao thức HTTPS.
Kể từ tháng 6/2019, mã độc được cho là đã gây ảnh hưởng đến các thiết bị router của Asus đặt tại Hoa Kỳ, Ấn Độ, Ý, Canada và Nga.
Với việc các thiết bị IoT và router đang trở thành “miếng mồi béo bở” do không thường xuyên được cập nhật bản vá và không có phần mềm an ninh, Trend Micro cảnh báo rằng điều này có thể dẫn đến sự hình thành của “các mạng botnet bền vững”.
Các nhà nghiên cứu cho biết: “Một khi thiết bị IoT bị nhiễm mã độc, kẻ tấn công có thể có quyền truy cập Internet không giới hạn để tải xuống và triển khai nhiều giai đoạn hơn để do thám, gián điệp hoặc bất cứ hành vi nào khác. Trong trường hợp của Cyclops Blink, chúng tôi đã phát hiện các thiết bị bị xâm nhập trong hơn 30 tháng liên tiếp và đang được thiết lập làm máy chủ điều khiển và ra lệnh cho các bot khác”.
Nguyễn Thu
07:00 | 26/06/2023
13:00 | 14/12/2020
13:00 | 19/03/2018
09:00 | 22/04/2022
18:00 | 16/08/2022
12:00 | 12/04/2024
Mới đây, Cục An toàn thông tin khuyến nghị người dân cảnh giác với 7 hình thức lừa đảo trực tuyến phổ biến, gồm 5 hình thức trong nước và 2 hình thức có quy mô quốc tế.
07:00 | 08/04/2024
Tháng 01/2024, nhóm nghiên cứu Zero Day Initiative (ZDI) của hãng bảo mật Trend Micro phát hiện chiến dịch phân phối phần mềm độc hại DarkGate. Các tác nhân đe dọa đã khai thác lỗ hổng CVE-2024-21412 trong Windows Defender SmartScreen để vượt qua kiểm tra bảo mật (bypass) và tự động cài đặt phần mềm giả mạo.
07:00 | 18/01/2024
Một kỹ thuật khai thác mới có tên là SMTP Smuggling có thể được tin tặc sử dụng để gửi email giả mạo có địa chỉ người gửi giả và vượt qua các biện pháp bảo mật.
07:00 | 15/01/2024
Pegasus được đánh giá là một trong những phần mềm gián điệp mạnh mẽ nhất hiện nay, chúng có các chức năng đánh cắp dữ liệu toàn diện hơn rất nhiều so với các phần mềm gián điệp khác, với khả năng thu thập thông tin mọi thứ từ dữ liệu có giá trị cao như mật khẩu, danh bạ và các dữ liệu từ các ứng dụng khác. Trong bài báo này, tác giả sẽ giới thiệu tổng quan về mã độc Pegasus và biến thể Chrysaor cùng các phương thức tấn công và cách phòng chống mã độc nguy hiểm này.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024
