Gần một triệu thiết bị định tuyến bị tấn công

08:02 | 15/12/2016 | HACKER / MALWARE

Mạng botnet Mirai ngày càng phát triển và trở nên nguy hiểm hơn, bởi nó có khả năng lây nhiễm trên các thiết bị IoT.

Tháng 10/2016, mạng botnet Mirai đã gây ra cuộc tấn công DDoS lớn nhất từ trước đến nay, làm tê liệt một số trang web lớn và phổ biến nhất trên thế giới.

Mới đây nhất, hơn 900.000 thiết bị định tuyến băng thông rộng (broadband routers) của nhà cung cấp dịch vụ viễn thông Deutsche Telekom, Đức đã bị ngưng trệ hoạt động sau một cuộc tấn công gây ảnh hưởng đến hệ thống điện thoại, truyền hình và dịch vụ Internet của nước này.

Deutsche Telekom là nhà cung cấp dịch vụ viễn thông cho khoảng 20 triệu khách hàng, đã xác nhận có đến 900.000 khách hàng bị mất kết nối Internet vào ngày 27-28/11/2016. Các bộ định tuyến này được cho là tồn tại lỗ hổng có thể cho phép thực thi mã từ xa được tạo ra bởi Zyxel và Speedport, cổng 7547 được mở để nhận lệnh dựa trên TR-069 (cùng họ với giao thức TR-064), được dự định sử dụng bởi ISP để quản lý các thiết bị từ xa.

Gần một triệu thiết bị định tuyến bị tấn công

Theo trang tìm kiếm Shodan, có khoảng 41 triệu thiết bị để ngỏ cổng 7547, trong khi khoảng 5 triệu thiết bị để lộ thông tin về các dịch vụ TR-064.

Theo một công bố bởi Trung tâm Internet Storm SANS, máy chủ honeypot giả mạo là bộ định tuyến dễ bị tổn thương đã được nhận mã khai thác định kỳ 5-10 phút một lần đối với mỗi IP mục tiêu. Khi thực hiện chặn gói tin cho thấy lỗ hổng này được khai thác qua <NewNTPServer> của giao thức SOAP để tải về và thực thi file.

Các nhà nghiên cứu bảo mật tại BadCyber cũng phân tích một trong những payload độc hại và phát hiện ra rằng các cuộc tấn công có nguồn gốc từ một máy chủ C&C đã biết của Mirai.

Các cuộc tấn công được bắt đầu vào đầu tháng 10/2016, khi mã nguồn của Mirai được công khai, mẫu phần mềm độc hại cho IoT được thiết kế để quét các thiết bị IoT không an toàn - chủ yếu là các bộ định tuyến, máy ảnh, DVR và biến chúng thành một mạng botnet, mà sau đó được sử dụng trong các cuộc tấn công DDoS.

Tin tặc đã tạo ra ba mã khai thác riêng biệt để lây nhiễm cho ba kiến trúc khác nhau: hai mã dành cho các loại chip MIPS và một với ARM.

Các payload độc hại truy cập giao diện quản trị từ xa và sau đó cố gắng đăng nhập bằng ba loại mật khẩu mặc định. Sau đó, đóng cổng 7547 để ngăn chặn kẻ tấn công khác kiểm soát của các thiết bị bị nhiễm.

Deutsche Telekom đã ban hành một bản vá khẩn cấp cho hai model của bộ định tuyến băng thông rộng Speedport của hãng là Speedport W 921V và Speedport W 723V Loại B và hiện đang tung ra bản cập nhật firmware. Deutsche Telekom khuyến cáo khách hàng của mình tắt bộ đinh tuyến, chờ 30 giây rồi sau đó khởi động lại để thiết bị được nạp các firmware mới trong quá trình khởi động. Nếu router không kết nối vào mạng của công ty, người dùng được khuyên nên thường xuyên ngắt kết nối thiết bị.

‹ › ×

Tin liên quan

Xây dựng hệ thống phát hiện mã độc trong thiết bị định tuyến dựa trên mô phỏng

09:00 | 09/01/2018

CSKH-01.2017 - (Tóm tắt) Song hành cùng cuộc cách mạng công nghiệp lần thứ 4 là sự phát triển mạng lưới kết nối các thiết bị IoT. Để đảm bảo sự thông suốt trong toàn bộ quá trình trao đổi thông tin giữa các thiết bị IoT, thì thiết bị định tuyến đóng vai trò then chốt. Do đó, thiết bị định tuyến đã và đang trở thành mục tiêu tấn công phổ biến của tin tặc. Điều này dẫn tới nguy cơ không chỉ mất an toàn thông tin của thiết bị IoT nói riêng mà còn là nguy cơ gây mất an toàn, an ninh mạng nói chung. Trong bài báo này, nhóm tác giả đề xuất một phương pháp mô phỏng đầy đủ nhằm thu thập dữ liệu hoạt động của phần sụn (firmware) để phát hiện mã độc trong các thiết bị định tuyến.

Singapore thắt chặt yêu cầu bảo mật đối với các thiết bị định tuyến gia đình mới

14:00 | 20/11/2020

Cơ quan Phát triển phương tiện thông tin truyền thông (IMDA) của Singapore vừa ra công bố yêu cầu bảo mật tiên tiến đối với thiết bị định tuyến gia đình bán ra tại Singapore.

Tin cùng chuyên mục

Nhóm tin tặc Việt Nam bị nghi đánh cắp dữ liệu tài chính ở châu Á

10:00 | 24/04/2024

Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.

Cảnh báo 7 hình thức lừa đảo phổ biến

12:00 | 12/04/2024

Mới đây, Cục An toàn thông tin khuyến nghị người dân cảnh giác với 7 hình thức lừa đảo trực tuyến phổ biến, gồm 5 hình thức trong nước và 2 hình thức có quy mô quốc tế.

Biến thể mới của kỹ thuật tấn công DLL vượt qua các biện pháp bảo vệ của Windows 10, 11

08:00 | 19/01/2024

Các nhà nghiên cứu bảo mật đến từ Công ty an ninh mạng Security Joes (Israel) đã mô tả một cách chi tiết về một biến thể mới của kỹ thuật chiếm quyền điều khiển thứ tự tìm kiếm thư viện liên kết động (DLL) mà các tin tặc có thể sử dụng để vượt qua các cơ chế bảo mật và thực thi mã độc trên các hệ thống chạy Windows 10 và Windows 11.

Hãng viễn thông lớn nhất Ukraine bị tấn công mạng

15:00 | 18/12/2023

Ngày 12/12, Kyivstar - nhà mạng lớn nhất Ukraine hứng chịu một cuộc tấn công mạng lớn, khiến hàng triệu người dùng mất kết nối di động và Internet. Đáng chú ý sự cố gây ảnh hưởng đến hệ thống cảnh báo không kích của nước này.