Theo Cloudflare, các cuộc tấn công DDoS siêu khối lượng đã bắt đầu trở nên phổ biến hơn, một xu hướng được nhận thấy vào quý 3 năm 2024. Trong quý cuối cùng của năm, các cuộc tấn công bắt đầu vượt qua 1 Tbps, với mức tăng trưởng 1.885% so với quý trước. Các cuộc tấn công vượt quá 100 triệu gói mỗi giây cũng tăng 175%, trong khi có tới 16% trong số đó đạt hơn 1 tỷ gói mỗi giây. Tuy nhiên, các cuộc tấn công DDoS HTTP siêu khối lượng chỉ chiếm 3% tổng số, trong khi 63% còn lại là các cuộc tấn công nhỏ không vượt quá 50.000 yêu cầu mỗi giây.

Thống kê tương tự cũng được ghi nhận đối với các cuộc tấn công DDoS ở lớp mạng (Layer 3/Layer 4), với 93% không vượt quá 500 Mbps, trong khi 87% ở mức dưới 50.000 gói mỗi giây. Cloudflare cảnh báo rằng các cuộc tấn công DDoS đang trở nên ngắn hơn, đến mức mà việc phản ứng của con người trở nên bất khả thi, không thể phân tích lưu lượng và áp dụng biện pháp giảm nhẹ kịp thời. Khoảng 72% các cuộc tấn công HTTP và 91% các cuộc tấn công ở lớp mạng kết thúc trong vòng chưa đầy 10 phút. Ngược lại, chỉ 22% cuộc tấn công HTTP và 2% ở lớp mạng kéo dài hơn một giờ.

Công ty bảo mật internet này cho biết rằng những đợt tấn công ngắn gọn thường xảy ra trong các thời điểm sử dụng cao, như trong các kỳ nghỉ lễ và sự kiện giảm giá, nhằm gây ra tác động tối đa. Điều này tạo cơ hội cho các cuộc tấn công DDoS kiểu đòi tiền chuộc, cũng đã có mức tăng 78% theo quý và 25% theo năm, đạt đỉnh cao vào quý IV và mùa lễ Giáng Sinh. Cloudflare nhấn mạnh rằng “thời gian ngắn của các cuộc tấn công nhấn mạnh sự cần thiết phải có một dịch vụ bảo vệ DDoS tự động, luôn sẵn sàng”.

Theo dữ liệu từ Cloudflare, các mục tiêu bị tấn công nhiều nhất trong quý cuối năm 2024 tập trung tại Trung Quốc, Philippines và Đài Loan, sau đó là Hồng Kông và Đức. Thống kê cho thấy hầu hết các mục tiêu nằm trong các ngành viễn thông, dịch vụ và nhà cung cấp, lĩnh vực internet, cũng như tiếp thị và quảng cáo. Tình hình này không chỉ đe dọa an ninh tới các cá nhân và doanh nghiệp mà còn tác động đến cơ sở hạ tầng cơ bản của các quốc gia.

Botnet này được cho là đã tấn công hơn 100 quốc gia, nhắm vào các trường đại học, trang web chính phủ, các công ty viễn thông, ngân hàng, và các ngành công nghiệp trò chơi điện tử và cờ bạc. Trung Quốc, Mỹ, Canada và Đức là những nước bị tấn công nhiều nhất. NSFOCUS, có trụ sở tại Bắc Kinh, cho biết Gorilla chủ yếu sử dụng các hình thức tấn công UDP flood, ACK BYPASS flood, Valve Source Engine (VSE) flood, SYN flood, và ACK flood để thực hiện các cuộc tấn công DDoS. Đặc biệt là bản chất không có kết nối của giao thức UDP cho phép giả mạo địa chỉ IP nguồn một cách tùy ý để tạo ra lượng lớn lưu lượng tấn công.

Không chỉ hỗ trợ nhiều kiến trúc CPU như ARM, MIPS, x86_64, và x86, botnet này còn có khả năng kết nối với một trong năm máy chủ điều khiển và điều khiển (C2) đã được định trước để chờ nhận lệnh DDoS. Đặc biệt hơn, phần mềm độc hại này còn tích hợp cả các chức năng khai thác một lỗ hổng bảo mật trong Apache Hadoop YARN RPC để thực hiện việc thực thi mã từ xa, vốn đã bị lợi dụng trên thực tế từ năm 2021 theo thông tin từ Alibaba Cloud và Trend Micro.

Để duy trì sự tồn tại trên máy chủ, mã độc tạo ra một tập tin dịch vụ có tên custom.service trong thư mục “/etc/systemd/system/” và cấu hình nó để chạy tự động mỗi khi hệ thống khởi động. Dịch vụ này chịu trách nhiệm tải xuống và thực thi một tập tin script shell (“lol.sh”) từ một máy chủ từ xa (“pen.gorillafirewall[.]su”). Các lệnh tương tự cũng được thêm vào các tập tin “/etc/inittab,” “/etc/profile,” và “/boot/bootcmd” để tải và chạy script shell khi hệ thống khởi động hoặc người dùng đăng nhập.

“Botnet này đã giới thiệu nhiều phương pháp tấn công DDoS khác nhau và sử dụng các thuật toán mã hóa thường được nhóm Keksec sử dụng để che giấu thông tin quan trọng. Đồng thời, nó sử dụng nhiều kỹ thuật để duy trì quyền kiểm soát lâu dài đối với các thiết bị IoT và máy chủ đám mây, cho thấy mức độ nhận thức cao về phát hiện ngược trong khi là một dòng botnet mới nổi,” NSFOCUS cho biết.

Một nhà nghiên cứu an ninh mạng có biệt danh Fox_threatintel đã chia sẻ trên X rằng, phần mềm độc hại botnet này không hoàn toàn mới và đã hoạt động trong hơn một năm.

Thông tin này được công ty an ninh mạng NetLab của Qihoo 360 chia sẻ. Chiến dịch được gọi là GhostDNS và có nhiều nét tương đồng với mã độc DNSChanger nổi tiếng, hoạt động bằng cách thay đổi thiết lập DNS ở các thiết bị chịu ảnh hưởng. Từ đó, cho phép kẻ tấn công có thể điều hướng truy cập internet của người dùng thông qua các máy chủ nguy hại và ăn cắp các thông tin nhạy cảm của họ như tài khoản truy cập hay tài khoản ngân hàng.

Theo NetLab, hệ thống GhostDNS có rất nhiều đoạn mã dùng để dò tìm mật khẩu của các router từ 21 nhà sản xuất khác nhau. Thậm chí nó còn có cả các đoạn mã tấn công được thiết kế dành cho các router hoặc firmware của router bị ảnh hưởng và được tìm thấy triển khai ở hơn 100 server, hầu hết là trên Google Cloud.

Chưa hết, GhostDNS còn có hàng loạt các module phụ trợ để kẻ tấn công có thể quét trên internet và tìm ra các router nằm trong nhóm bị ảnh hưởng và có thể khai thác. Đáng chú ý là một module DNS giả mạo chịu trách nhiệm phân giải tên miền mục tiêu từ các máy chủ web do kẻ tấn công kiểm soát, chủ yếu liên quan đến các dịch vụ ngân hàng và đám mây cùng với một tên miền thuộc về công ty bảo mật có tên là Avira.

Cũng theo các nhà bảo mật thì từ 21/9 đến 27/9, chiến dịch GhostDNS đã thao túng hơn 100 ngàn router mà trong đó khoảng hơn 87% là các thiết bị tại Brazil. Điều này cho thấy đất nước này chính là mục tiêu chính của GhostDNS, với khoảng hơn 70 router/firmware có liên quan và hơn 50 tên miền như nhiều ngân hàng lớn tại Brazil, hay thậm chí là các tên miền .br của Netflix, Citybank cũng bị chiếm để ăn cắp các tài khoản đăng nhập.

Do quy mô lớn và sử dụng nhiều phương pháp tấn công khác nhau với quá trình tấn công tự động nên chiến dịch GhostDNS được coi là một mối nguy hiểm thật sự đối với người dùng. Do đó các nhà nghiên cứu khuyến cáo người dùng nên chủ động tự bảo vệ router tại gia của họ trước sự tấn công của hacker. Đáng lưu ý là trong số danh sách các router bị ảnh hưởng có khá nhiều các mẫu router của D-Link và TP-Link được không ít người dùng trong nước sử dụng. Thậm chí có cả tên của nhà sản xuất Huawei, tên thương hiệu của trang bị đang được nhiều nhà mạng cung cấp cho người dùng theo hợp đồng internet.

Danh sách các router/firmware bị ảnh hưởng bởi GhostDNS

Người dùng được khuyến cáo nên bảo đảm router đã cập nhật firmware mới nhất và sử dụng mật khẩu mạnh và phức tạp để truy cập vào router. Mặt khác, các nhà nghiên cứu cũng đề nghị người dùng cân nhắc tắt tính năng quản trị từ xa (remote administration), thay đổi các địa chỉ IP mặc định trong mạng nội bộ và chỉ sử dụng các DNS đáng tin cậy cho router hoặc hệ điều hành.

Theo The Hacker News

Internet of Things  (IoT) đang thay đổi cách chúng ta sống và làm việc từng ngày, cho phép các doanh nghiệp làm việc hiệu quả và tối ưu. Chỉ có một vấn đề cần lưu ý là an ninh thiết bị IoT về cơ bản vẫn còn nhiều thiếu sót. Những kẻ xấu đang dựa vào yếu điểm đó để khai thác.

Mirai: Chỉ là khởi đầu?

Có thể nói, 2016 là năm botnet IoT bùng nổ như mối hiểm họa lớn và trở thành xu hướng tấn công chủ đạo. Sau khi mã nguồn mỡ của phần mềm độc hại khét iếng Mirai được công khai tiết lộ cuối năm ngoái, nhiều chuyên gia mũ đen đã không mất nhiều thời gian để dự đoán các thiết bị nhà thông minh với tính năng mặc định tên người dùng và mật khẩu sẽ có khả năng tung ra một số vụ tấn công DdoS lớn chưa từng thấy.

Một minh chứng đáng chú ý nhất chính là việc tội phạm mạng Liberia tấn công nhắm vào các công ty DNS Dyn dẫn đến lượt thích của Twitter, Reddit, Spotify và SoundCloud đồng loạt bị ảnh hưởng.

Trend Micro và các nhà nghiên cứu dự đoán rằng, tội phạm mạng năm nay sẽ tiếp tục vận dụng các lỗ hổng bảo mật cơ bản trong các thiết bị người dùng như webcam và DVR để xây dựng botnet DDoS. Sau tất cả, phản ứng thờ ơ với Mirai trong cộng động các nhà cung cấp có thể nói chính là nguồn cơn khiến thiết bị dễ bị khai thác. Các kẻ tấn công có động cơ tài chính sẽ sử dụng botnet DDoS để nhắm đến các công ty và trang web chính trị, dịch vụ, tin tức trong năm nay.

Tham vọng trở thành một ngành công nghiệp

Sự gia tăng các cuộc tấn công nhắm mục tiêu cao đến những hệ thống IoT công nghiệp, trong các công ty sản xuất và năng lượng đã cho thấy tham vọng đưa các mối đe dọa IoT trở thành một ngành công nghiệp của tội phạm mạng. Một ví dụ điển hình là trạm điện Ukraine đã bị gián đoạn trong tháng 12 năm 2015 và 2016 bởi những kẻ tấn công tương đối phức tạp.

Nguy cơ ở đây không nhất thiết chỉ là việc đánh cắp dữ liệu mà còn gây tổn hại về thể chất – vì IoT vốn nằm ở giao lộ của thế giới vật chất và không gian mạng. Tấn công một chiếc xe kết nối, tội phạm có thể gây ra tai nạn trên xa lộ. Tấn công một nhà máy điện trong mùa đông, người dân cả vùng sẽ không thể sưởi ấm. Mọi thứ đơn thuần không chỉ là đánh cắp thông tin.

Các sản phẩm ứng dụng IoT là không dễ bị tấn công. Nhưng trong thực tế, Trend Micro TippingPoint đã tìm thấy gần một phần ba (30%) tổng số lỗ hổng trong năm 2016 từ hệ thống kiểm soát và thu thập dữ liệu (SCADA) giám sát các lỗ hổng trên các thiết bị.

Vậy chúng ta có thể làm gì để nâng cao nhận thức về an ninh trong người dùng và nhà sản xuất, để giảm mồi ngon cho những kẻ xấu? Từ quan điểm một ngành công nghiệp, các chuyên gia IT luôn phải cố gắng giữ nhiệm vụ hệ thống quan trọng được cập nhật liên tục trong các nhà máy, phân xưởng hay công trình. Ngoài ra, việc đảm bảo trang bị mạng tại chỗ IPS cũng sẽ phát hiện và ngăn chặn các gói dữ liệu mạng độc hại.

Tất cả chúng ta phải lên kế hoạch để đối đầu và giảm thiểu các mối đe dọa an ninh IoT ngay từ bây giờ.

NHƯ QUỲNH

Các chuyên gia đã theo dõi hoạt động của nhóm tin tặc Yingmob trong 5 tháng và cho biết tổ chức này khá tinh vi với các thành viên có trình độ cao và thu về nhiều lợi nhuận.

Công cụ mà nhóm tin tặc lựa chọn đó là mã độc có tên HummingBad. Yingmod cũng hợp tác với một công ty phân tích quảng cáo chính thống.

“Mã độc HummingBad được phát hiện từ tháng 2/2016. Mã độc này thiết lập một rootkit “cố thủ” trên thiết bị Android nhằm tạo doanh thu từ quảng cáo độc hại, và cài đặt các ứng dụng lừa đảo khác“, các chuyên gia cho biết.

“Yingmob hợp tác cùng với một công ty phân tích quảng cáo Trung Quốc, chia sẻ về tài nguyên và công nghệ. Nhóm này có tổ chức bài bản với 25 nhân viên chia thành bốn nhóm riêng biệt, chịu trách nhiệm cho việc phát triển các thành phần độc hại của HummingBad“.

Mã độc có các thành phần giống như YiSpecter – mã độc ảnh hưởng tới người dùng Apple và hệ điều hành iOS, và chủ yếu ảnh hưởng tới người dùng tại Trung Quốc. Các chuyên gia cho biết điều này không phải ngẫu nhiên và 2 mã độc có cùng nguồn gốc. Như vậy, nhóm tin tặc không hề e ngại để lại dấu vết.

“Yingmob sử dụng HummingBad để kiếm về 300.000USD mỗi tháng từ doanh thu quảng cáo. Dòng tiền kiếm về ổn định cùng với kết cấu tổ chức tập trung cho thấy tội phạm mạng có thể dễ dàng kiếm tiền một cách hiệu quả”.

Bên cạnh lợi nhuận từ quảng cáo, nhóm tin tặc cũng có thể sử dụng tài nguyên thiết bị để tạo ra các botnet mạnh mẽ hay tiến hành các cuộc tấn công chủ đích. Ngoài ra, nhóm cũng có thể tạo các dòng doanh thu mới bằng cách bán quyền truy cập đến thiết bị mà nhóm sở hữu cho người khác.

Theo Whitehat