Gần một triệu thiết bị định tuyến bị tấn công

08:02 | 15/12/2016 | HACKER / MALWARE

Mạng botnet Mirai ngày càng phát triển và trở nên nguy hiểm hơn, bởi nó có khả năng lây nhiễm trên các thiết bị IoT.

Tháng 10/2016, mạng botnet Mirai đã gây ra cuộc tấn công DDoS lớn nhất từ trước đến nay, làm tê liệt một số trang web lớn và phổ biến nhất trên thế giới.

Mới đây nhất, hơn 900.000 thiết bị định tuyến băng thông rộng (broadband routers) của nhà cung cấp dịch vụ viễn thông Deutsche Telekom, Đức đã bị ngưng trệ hoạt động sau một cuộc tấn công gây ảnh hưởng đến hệ thống điện thoại, truyền hình và dịch vụ Internet của nước này.

Deutsche Telekom là nhà cung cấp dịch vụ viễn thông cho khoảng 20 triệu khách hàng, đã xác nhận có đến 900.000 khách hàng bị mất kết nối Internet vào ngày 27-28/11/2016. Các bộ định tuyến này được cho là tồn tại lỗ hổng có thể cho phép thực thi mã từ xa được tạo ra bởi Zyxel và Speedport, cổng 7547 được mở để nhận lệnh dựa trên TR-069 (cùng họ với giao thức TR-064), được dự định sử dụng bởi ISP để quản lý các thiết bị từ xa.

Gần một triệu thiết bị định tuyến bị tấn công

Theo trang tìm kiếm Shodan, có khoảng 41 triệu thiết bị để ngỏ cổng 7547, trong khi khoảng 5 triệu thiết bị để lộ thông tin về các dịch vụ TR-064.

Theo một công bố bởi Trung tâm Internet Storm SANS, máy chủ honeypot giả mạo là bộ định tuyến dễ bị tổn thương đã được nhận mã khai thác định kỳ 5-10 phút một lần đối với mỗi IP mục tiêu. Khi thực hiện chặn gói tin cho thấy lỗ hổng này được khai thác qua <NewNTPServer> của giao thức SOAP để tải về và thực thi file.

Các nhà nghiên cứu bảo mật tại BadCyber cũng phân tích một trong những payload độc hại và phát hiện ra rằng các cuộc tấn công có nguồn gốc từ một máy chủ C&C đã biết của Mirai.

Các cuộc tấn công được bắt đầu vào đầu tháng 10/2016, khi mã nguồn của Mirai được công khai, mẫu phần mềm độc hại cho IoT được thiết kế để quét các thiết bị IoT không an toàn - chủ yếu là các bộ định tuyến, máy ảnh, DVR và biến chúng thành một mạng botnet, mà sau đó được sử dụng trong các cuộc tấn công DDoS.

Tin tặc đã tạo ra ba mã khai thác riêng biệt để lây nhiễm cho ba kiến trúc khác nhau: hai mã dành cho các loại chip MIPS và một với ARM.

Các payload độc hại truy cập giao diện quản trị từ xa và sau đó cố gắng đăng nhập bằng ba loại mật khẩu mặc định. Sau đó, đóng cổng 7547 để ngăn chặn kẻ tấn công khác kiểm soát của các thiết bị bị nhiễm.

Deutsche Telekom đã ban hành một bản vá khẩn cấp cho hai model của bộ định tuyến băng thông rộng Speedport của hãng là Speedport W 921V và Speedport W 723V Loại B và hiện đang tung ra bản cập nhật firmware. Deutsche Telekom khuyến cáo khách hàng của mình tắt bộ đinh tuyến, chờ 30 giây rồi sau đó khởi động lại để thiết bị được nạp các firmware mới trong quá trình khởi động. Nếu router không kết nối vào mạng của công ty, người dùng được khuyên nên thường xuyên ngắt kết nối thiết bị.

‹ › ×

Tin liên quan

Xây dựng hệ thống phát hiện mã độc trong thiết bị định tuyến dựa trên mô phỏng

09:00 | 09/01/2018

CSKH-01.2017 - (Tóm tắt) Song hành cùng cuộc cách mạng công nghiệp lần thứ 4 là sự phát triển mạng lưới kết nối các thiết bị IoT. Để đảm bảo sự thông suốt trong toàn bộ quá trình trao đổi thông tin giữa các thiết bị IoT, thì thiết bị định tuyến đóng vai trò then chốt. Do đó, thiết bị định tuyến đã và đang trở thành mục tiêu tấn công phổ biến của tin tặc. Điều này dẫn tới nguy cơ không chỉ mất an toàn thông tin của thiết bị IoT nói riêng mà còn là nguy cơ gây mất an toàn, an ninh mạng nói chung. Trong bài báo này, nhóm tác giả đề xuất một phương pháp mô phỏng đầy đủ nhằm thu thập dữ liệu hoạt động của phần sụn (firmware) để phát hiện mã độc trong các thiết bị định tuyến.

Singapore thắt chặt yêu cầu bảo mật đối với các thiết bị định tuyến gia đình mới

14:00 | 20/11/2020

Cơ quan Phát triển phương tiện thông tin truyền thông (IMDA) của Singapore vừa ra công bố yêu cầu bảo mật tiên tiến đối với thiết bị định tuyến gia đình bán ra tại Singapore.

Tin cùng chuyên mục

AT&T xác nhận dữ liệu của 73 triệu khách hàng bị rò rỉ

13:00 | 05/04/2024

Trong một động thái mới nhất, AT&T cuối cùng đã xác nhận rằng họ bị ảnh hưởng bởi một vụ vi phạm dữ liệu ảnh hưởng đến 73 triệu khách hàng.

Phần mềm độc hại WogRAT mới lợi dụng Notepad trực tuyến để lưu trữ và phân phối mã độc

08:00 | 12/03/2024

Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.

Dự đoán phần mềm tội phạm và các mối đe dọa tài chính vào năm 2024

09:00 | 28/02/2024

Đội ngũ chuyên gia an ninh mạng tại Kaspersky liên tục theo dõi sự phức tạp của các mối đe dọa đối với tổ chức tài chính, bao gồm cả ngân hàng và các mối đe dọa có động cơ tài chính như phần mềm tống tiền đang lan rộng đến nhiều ngành công nghiệp khác nhau. Trong bài viết này, các chuyên gia bảo mật Kaspersky sẽ đánh giá lại các dự đoán của họ trong năm 2023 và đưa ra những xu hướng dự kiến sẽ nổi lên trong năm 2024.

Lỗ hổng Terrapin mới cho phép tin tặc hạ cấp bảo mật giao thức SSH

08:00 | 11/01/2024

Các nhà nghiên cứu bảo mật từ Đại học Ruhr Bochum (Đức) phát hiện ra một lỗ hổng trong giao thức mạng mật mã Secure Shell (SSH) có thể cho phép kẻ tấn công hạ cấp bảo mật của kết nối bằng cách phá vỡ tính toàn vẹn của kênh an toàn.