Tin tặc phát triển mạng botnet Windows để phát tán mã độc Mirai khét tiếng

(eFinance Online) - Các chuyên gia tại Kaspersky Lab đang tiến hành phân tích spreader chạy trên hệ điều hành Windows dùng để phát tán phần mềm độc hại Mirai với nỗ lực xóa bỏ mọi botnet của nó. 
Tin tặc phát triển mạng botnet Windows để phát tán mã độc Mirai khét tiếng

Theo các chuyên gia, có vẻ mạng bot này được tạo ra bởi lập trình viên có kinh nghiệm hơn là những kẻ đã thực hiện tấn công DDoS ồ ạt vào cuối năm 2016, điều này dấy lên lo ngại về mục tiêu tương lai của các cuộc tấn công sử dụng Mirai. 

Tác giả của phần mềm độc hại này có thể là người nói tiếng Trung. Dữ liệu Kaspersky Lab cho thấy khoảng 500 hệ thống đã bị tấn công trong năm 2017, và những thị trường mới nổi có đầu tư lớn vào công nghệ kết nối có thể gặp nguy hiểm cao. 

Spreader chạy trên Windows mạnh hơn so với Mirai nguyên bản nhưng hầu hết mọi bộ phận, thủ thuật và chức năng của spreader mới đều đã cũ. Khả năng phát tán Mirai còn hạn chế ở chỗ: nó chỉ có thể phát tán từ máy tính Windows đã bị lây nhiễm đến thiết bị IoT yếu kém thuộc hệ điều hành Linux nếu nó có thể tấn công kết nối telnet từ xa thành công.

Tuy bị hạn chế nhưng mã độc này chính là tác phẩm của lập trình viên có kinh nghiệm. Các yếu tố như ngôn ngữ trong phần mềm, mã độc được viết trên hệ thống Trung Quốc có server tại Đài Loan và có giấy phép trộm từ các công ty Trung Quốc cho thấy lập trình viên có thể là người nói tiếng Trung. 

Theo ghi nhận của Kaspersky Lab, gần 500 hệ thống đã bị bot Windows này tấn công trong năm 2017 và những nỗ lực lây nhiễm đều bị phát hiện và ngăn chặn. 

Dựa trên địa chỉ IP trong giai đoạn tấn công thứ hai, những quốc gia dễ bị tấn công nhất là những thị trường mới nổi đã và đang đầu tư lớn vào công nghệ kết nối như Ấn Độ, Việt Nam, Ả-rập Saudi, Trung Quốc, Iran, Brazil, Moroco, Thổ Nhĩ Kỳ, Malawi, Các tiểu vương quốc Ả-rập thống nhất, Pakistan, Tunisia, Nga, Moldova, Venezuela, Philippines, Colombia, Romania, Peru, Ai Cập và Bangladesh.

Kaspersky Lab cùng với CERT (Đội ứng cứu máy tính khẩn cấp), nhà cung cấp và các nhà điều hành mạng để giải quyết các mối đe dọa ngày càng tăng lên đối với cơ sở hạ tầng của Internet bằng cách giảm đáng kể số lượng máy chủ. Việc gỡ bỏ nhanh chóng và thành công những máy chủ này làm giảm thiểu rủi ro và làm gián đoạn botnet IoT đang phát triển nhanh hiện nay. Nhờ tận dụng kinh nghiệm và mối quan hệ với CERT và các nhà cung cấp trên toàn thế giới, Kaspersky Lab đã có thể xúc tiến những nỗ lực này.

“Sự xuất hiện của Mirai lai giữa nền tảng Linux và Windows là vấn đề đáng lo ngại vì nó chính là sự xuất hiện của lập trình viên dày dạn kinh nghiệm. Lần tung mã nguồn của Trojan ngân hàng Zeus đã khiến cộng đồng trực tuyến gặp rắc rối trong nhiều năm và giờ đây, mã nguồn mạng lưới bot của các thiết bị IoT thuộc Mirai đang làm điều tương tự. Những kẻ tấn công nhiều kinh nghiệm hơn, có nhiều kĩ năng và thủ thuật ngày càng tinh vi đang bắt đầu phát tán mã độc Mirai một cách không do dự. Botnet Windows dùng để phát tán bot IoT của Mirai vượt qua trở ngại và cho phép phát tán Mirai đến những thiết bị và mạng lưới mới. Đây chỉ mới là sự bắt đầu”, Kurt Baumgartner, Giám đốc Nghiên cứu Bảo mật, Kaspersky Lab chia sẻ...

(GN)