Theo Cloudflare, các cuộc tấn công DDoS siêu khối lượng đã bắt đầu trở nên phổ biến hơn, một xu hướng được nhận thấy vào quý 3 năm 2024. Trong quý cuối cùng của năm, các cuộc tấn công bắt đầu vượt qua 1 Tbps, với mức tăng trưởng 1.885% so với quý trước. Các cuộc tấn công vượt quá 100 triệu gói mỗi giây cũng tăng 175%, trong khi có tới 16% trong số đó đạt hơn 1 tỷ gói mỗi giây. Tuy nhiên, các cuộc tấn công DDoS HTTP siêu khối lượng chỉ chiếm 3% tổng số, trong khi 63% còn lại là các cuộc tấn công nhỏ không vượt quá 50.000 yêu cầu mỗi giây.

Thống kê tương tự cũng được ghi nhận đối với các cuộc tấn công DDoS ở lớp mạng (Layer 3/Layer 4), với 93% không vượt quá 500 Mbps, trong khi 87% ở mức dưới 50.000 gói mỗi giây. Cloudflare cảnh báo rằng các cuộc tấn công DDoS đang trở nên ngắn hơn, đến mức mà việc phản ứng của con người trở nên bất khả thi, không thể phân tích lưu lượng và áp dụng biện pháp giảm nhẹ kịp thời. Khoảng 72% các cuộc tấn công HTTP và 91% các cuộc tấn công ở lớp mạng kết thúc trong vòng chưa đầy 10 phút. Ngược lại, chỉ 22% cuộc tấn công HTTP và 2% ở lớp mạng kéo dài hơn một giờ.

Công ty bảo mật internet này cho biết rằng những đợt tấn công ngắn gọn thường xảy ra trong các thời điểm sử dụng cao, như trong các kỳ nghỉ lễ và sự kiện giảm giá, nhằm gây ra tác động tối đa. Điều này tạo cơ hội cho các cuộc tấn công DDoS kiểu đòi tiền chuộc, cũng đã có mức tăng 78% theo quý và 25% theo năm, đạt đỉnh cao vào quý IV và mùa lễ Giáng Sinh. Cloudflare nhấn mạnh rằng “thời gian ngắn của các cuộc tấn công nhấn mạnh sự cần thiết phải có một dịch vụ bảo vệ DDoS tự động, luôn sẵn sàng”.

Theo dữ liệu từ Cloudflare, các mục tiêu bị tấn công nhiều nhất trong quý cuối năm 2024 tập trung tại Trung Quốc, Philippines và Đài Loan, sau đó là Hồng Kông và Đức. Thống kê cho thấy hầu hết các mục tiêu nằm trong các ngành viễn thông, dịch vụ và nhà cung cấp, lĩnh vực internet, cũng như tiếp thị và quảng cáo. Tình hình này không chỉ đe dọa an ninh tới các cá nhân và doanh nghiệp mà còn tác động đến cơ sở hạ tầng cơ bản của các quốc gia.

Các terabyte thông tin chi tiết về khách hàng của Volkswagen đã được lưu trữ không được bảo vệ trên Amazon Cloud trong nhiều tháng, cho phép bất cứ ai có kiến thức kỹ thuật hạn chế cũng có thể theo dõi chuyển động của lái xe hoặc thu thập thông tin cá nhân. Danh sách dữ liệu bị rò rỉ không chỉ bao gồm các xe của Volkswagen mà còn bao gồm cả các mẫu xe Seat, Audi và Skoda, với một số dữ liệu về vị trí địa lý chính xác đến mức chỉ vài centimet.

Nguyên nhân của việc này xuất phát từ cấu hình sai trong hai ứng dụng IT của Cariad, theo như một đại diện của công ty chia sẻ với BleepingComputer. Vào ngày 26 tháng 11, tổ chức hacker đạo đức lớn nhất châu Âu, Chaos Computer Club (CCC), đã thông báo cho Cariad về vấn đề này. CCC phát hiện ra lỗ hổng từ một người tố giác và đã thử nghiệm truy cập không an toàn trước khi cung cấp các thông tin kỹ thuật cho Cariad và Volkswagen.

Trong một tuyên bố với BleepingComputer, đại diện của Cariad cho biết rằng chỉ những phương tiện được kết nối internet và đã đăng ký dịch vụ trực tuyến mới bị ảnh hưởng. Từ gần 800.000 xe đã bị lộ, các nhà nghiên cứu đã tìm thấy dữ liệu địa lý cho 460.000 xe, với độ chính xác lên đến mười centimet đối với một số xe. Đặc biệt, hơn 30 phương tiện trong số đó thuộc đội tuần tra của cảnh sát Hamburg, trong khi một số còn lại thuộc về các nhân viên của các cơ quan tình báo bị nghi ngờ.

Công ty cho biết rằng các hacker CCC chỉ có thể truy cập dữ liệu sau khi vượt qua một số cơ chế bảo mật và điều này đòi hỏi nhiều kỹ thuật và thời gian đáng kể. Dữ liệu của từng phương tiện cũng đã được tăng cường bảo mật bằng cách lập bí danh nhằm bảo vệ sự riêng tư, tuy nhiên, các hacker đã kết hợp các bộ dữ liệu khác nhau để gán thông tin với một người dùng cụ thể để tăng cường tính hiệu quả trong việc truy cập thông tin.

Tờ Spiegel đã tổ chức một nhóm các chuyên gia CNTT và nhà báo đã phát hiện ra những chi tiết vị trí được thu thập từ xe của hai chính trị gia Đức, Nadja Weippert và thành viên quốc hội Markus Grübel, chỉ sử dụng phần mềm có sẵn miễn phí. Các công cụ này đã tìm kiếm tài sản Cariad bị rò rỉ chứa các tệp thông tin nhạy cảm và dẫn đến việc tìm thấy một bản sao của bộ nhớ từ một ứng dụng nội bộ của Cariad.

Bên trong bộ nhớ dump, hackers đã phát hiện ra các chìa khóa truy cập đến một instance lưu trữ đám mây trên Amazon nơi Cariad lưu trữ dữ liệu thu thập từ các phương tiện của khách hàng trong tập đoàn Volkswagen. Tờ Spiegel báo cáo rằng một số thông tin dữ liệu đã chỉ rõ tọa độ kinh độ và vĩ độ của các xe khi động cơ điện đã tắt. “Đối với các mẫu xe VW và Seat, dữ liệu địa lý này chính xác đến mười centimet, còn đối với các mẫu Audi và Skoda thì chính xác đến mười kilomet, do đó không nghiêm trọng bằng” – Spiegel cho biết.

Phần lớn các xe bị ảnh hưởng, khoảng 300.000 chiếc, nằm ở Đức, trong khi các nhà nghiên cứu cũng tìm thấy thông tin về các xe tại Na Uy (80.000), Thụy Điển (68.000), Vương quốc Anh (63.000), Hà Lan (61.000), Pháp (53.000), Bỉ (68.000) và Đan Mạch (35.000). Cariad cũng cho biết nhóm an ninh của họ đã phản ứng nhanh chóng để khắc phục sự cố và đã đóng quyền truy cập vào cùng ngày mà CCC báo cáo.

Các đại diện của CCC xác nhận với Spiegel rằng đội ngũ kỹ thuật của Cariad “đã phản ứng nhanh chóng, kỹ lưỡng và có trách nhiệm” và rằng công ty đã phản ứng trong vòng vài giờ sau khi nhận được các thông tin kỹ thuật. Theo kết quả điều tra, Cariad không có bằng chứng cho thấy các bên khác, ngoài các hacker CCC, đã truy cập vào dữ liệu phương tiện bị lộ hoặc thông tin đã bị lạm dụng bởi bên thứ ba.

Công ty cũng nhấn mạnh rằng CCC chỉ có thể truy cập dữ liệu thu thập từ phương tiện và không thể truy cập vào chính các xe. Cariad cho biết rằng khách hàng của các thương hiệu thuộc tập đoàn Volkswagen có thể đồng ý sử dụng các sản phẩm và dịch vụ yêu cầu xử lý dữ liệu cá nhân và có thể vô hiệu hóa tùy chọn này bất kỳ lúc nào. Tuy nhiên, công ty cũng lưu ý rằng dữ liệu thu thập từ các phương tiện giúp họ “cung cấp, phát triển và cải thiện các chức năng kỹ thuật số” cho khách hàng cũng như tạo ra những lợi ích bổ sung.

Driver này có thể hoạt động ở cấp độ kernel, cho phép malware truy cập đến các phần quan trọng của hệ điều hành cũng như thực thi việc ngưng các tiến trình bảo mật. Các nhà nghiên cứu từ công ty an ninh mạng Trellix đã phát hiện thấy một cuộc tấn công mới tận dụng phương thức “bring-your-own-vulnerable-driver” (BYOVD) với phiên bản cũ của driver anti-rootkit để ngăn chặn các sản phẩm bảo mật trên hệ thống được nhắm mục tiêu.

Theo thông tin từ Trellix, phần mềm độc hại với tên file kill-floor.exe đã thả driver dễ tổn thương mang tên ntfs.bin tại thư mục người dùng mặc định trên Windows. Sau đó, nó tạo dịch vụ ‘aswArPot.sys’ thông qua công cụ Service Control (sc.exe) để đăng ký driver.

Malware này tiếp tục sử dụng danh sách cứng 142 quy trình liên quan đến các công cụ bảo mật và so sánh với nhiều hình chóp (snapshot) của các quy trình đang hoạt động trên hệ thống. Khi tìm thấy sự khớp, malware tạo một handle để tham chiếu đến driver Avast đã được cài đặt. Tiếp đó, nó đã khai thác API ‘DeviceIoControl’ để phát hành các lệnh IOCTL cần thiết nhằm ngừng hoạt động của driver này.

Các tiến trình bị nhắm đến từ nhiều giải pháp bảo mật nổi tiếng khác nhau, bao gồm McAfee, Symantec (Broadcom), Sophos, Avast, Trend Micro, Microsoft Defender, SentinelOne, ESET và BlackBerry. Khi các biện pháp phòng thủ bị vô hiệu hóa, malware có thể thực hiện các hoạt động độc hại mà không gây ra cảnh báo cho người dùng hay bị chặn lại.

Điều này không phải là vô nghĩa, vì driver và các quy trình tương tự đã được ghi nhận bởi các nhà nghiên cứu tại Trend Micro vào đầu năm 2022 trong một cuộc điều tra tấn công ransomware AvosLocker. Trước đó vào tháng 12 năm 2021, đội ngũ Response Services của Stroz Friedberg cũng phát hiện rằng ransomware Cuba đã sử dụng một script để khai thác chức năng trong driver Avast’s Anti-Rootkit để vô hiệu hóa các giải pháp bảo mật trên hệ thống của nạn nhân.

Các lỗi nghiêm trọng với mã CVE-2022-26522 và CVE-2022-26523, mà các nhà nghiên cứu tại SentinelLabs đã phát hiện vào khoảng thời gian đó, đã tồn tại từ năm 2016, có thể được khai thác nhằm tăng quyền hạn cho phép chúng vô hiệu hóa các sản phẩm bảo mật.

Các báo cáo gần đây từ Sekoia và Team Cymru đã chỉ ra rằng các tác nhân đe dọa hiện đang nhắm mục tiêu đến các router và thiết bị mạng của TP-Link, ASUS, Ruckus, các thiết bị NAS Axentra và các sản phẩm vpn của Zyxel. Khi các thiết bị này bị xâm phạm, các tác nhân đe dọa sẽ triển khai phần mềm độc hại tùy chỉnh giúp truy cập từ xa qua Telnet, hiển thị các banner chào mừng đặc biệt tùy thuộc vào thiết bị bị xâm phạm. Nhằm tăng cường khả năng che giấu, họ cài đặt một máy chủ proxy SOCKS5 cho phép thực hiện các cuộc tấn công độc hại trong khi vẫn hòa trộn cùng với lưu lượng hợp pháp.

Một điều đáng lưu ý là botnet này chưa được gán cho bất kỳ tác nhân đe dọa nào cụ thể, nhưng Team Cymru đã theo dõi phần mềm proxy được sử dụng trên các router này đến một người dùng sống tại Hàng Châu, Trung Quốc. Theo thông tin từ Microsoft, botnet Quad7 được cho là hoạt động từ Trung Quốc, với nhiều tác nhân đe dọa khác nhau đang sử dụng các router đã bị xâm phạm để đánh cắp thông tin đăng nhập qua các cuộc tấn công password spray. “Microsoft đánh giá rằng các thông tin đăng nhập thu được từ các hoạt động password spray của CovertNetwork-1658 đang được nhiều tác nhân đe dọa Trung Quốc sử dụng,” Microsoft cho biết trong một báo cáo mới. Đặc biệt, Microsoft đã quan sát thấy tác nhân đe dọa Trung Quốc Storm-0940 đang sử dụng thông tin đăng nhập từ CovertNetwork-1658. Khi tiến hành các cuộc tấn công password spray, Microsoft cho biết các tác nhân đe dọa không phải là những kẻ tấn công bạo lực, chỉ cố gắng đăng nhập một vài lần trên mỗi tài khoản, có thể là để tránh phát hiện. “Trong các chiến dịch này, CovertNetwork-1658 thực hiện một số lượng rất nhỏ các cuộc thử nghiệm đăng nhập vào nhiều tài khoản của một tổ chức mục tiêu,” Microsoft chia sẻ. “Khoảng 80% trường hợp, CovertNetwork-1658 chỉ thực hiện một cuộc thử nghiệm đăng nhập mỗi tài khoản mỗi ngày.”

Tuy nhiên, một khi đã đánh cắp thông tin đăng nhập, Microsoft nhận thấy rằng Storm-0940 đã sử dụng chúng để xâm nhập vào các mạng mục tiêu, đôi khi ngay trong cùng ngày chúng bị đánh cắp. Sau khi xâm phạm, các tác nhân đe dọa tiếp tục mở rộng sự xâm nhập qua mạng bằng cách lấy cắp thông tin đăng nhập và cài đặt RAT (Remote Access Trojans) cũng như các công cụ proxy nhằm duy trì quyền truy cập liên tục vào mạng. Mục tiêu cuối cùng của cuộc tấn công là đánh cắp dữ liệu từ mạng đã mục tiêu, có khả năng phục vụ cho mục đích gián điệp mạng. Đến hiện tại, các nhà nghiên cứu vẫn chưa xác định chính xác cách mà các tác nhân botnet Quad7 xâm phạm các router SOHO và các thiết bị mạng khác. Tuy nhiên, Sekoia đã ghi nhận một trong những honeypot của họ bị xâm nhập bởi các tác nhân đe dọa Quad7 thông qua một lỗ hổng zero-day của OpenWRT. “Chúng tôi đã chờ đợi chưa đầy một tuần trước khi quan sát một cuộc tấn công đáng chú ý đã được xâu chuỗi từ một lỗ hổng tiết lộ tệp không xác thực, nằm ngoài tầm kiểm soát công khai vào thời điểm này (theo tìm kiếm của Google) và một lỗ hổng tiêm lệnh,” Sekoia cho biết vào tháng 7. Tuy nhiên, cách mà các tác nhân này đang xâm nhập vào các thiết bị khác vẫn còn là một bí ẩn.

Một tweet từ HIBP cho biết 54% các tài khoản đã có sẵn trong cơ sở dữ liệu của họ từ những vi phạm trước đây. Hunt cũng cung cấp thêm thông tin chi tiết về quá trình liên hệ với Internet Archive về vi phạm vào ngày 6 tháng 10 và tiến hành quy trình công khai, cho đến khi trang web bị thay đổi và tấn công DDoS tại cùng thời điểm HIBP đang tải dữ liệu để thông báo cho người dùng bị ảnh hưởng.

Sau khi đóng thông báo, trang web hoạt động bình thường, mặc dù tốc độ có phần chậm. Không rõ điều gì đã xảy ra với trang web, nhưng những cuộc tấn công vào các dịch vụ như TweetDeck trước đây đã lợi dụng các lỗ hổng XSS hoặc tấn công chéo trang có kết quả tương tự.

Tính đến 5:30 chiều theo giờ ET, thông báo bật lên đã biến mất, tuy nhiên trang web cũng không còn tồn tại, chỉ để lại một thông điệp giữ chỗ nói rằng “Internet Archive dịch vụ tạm thời offline” và chỉ đạo khách truy cập truy cập tài khoản trên X để cập nhật.

Jason Scott, một nhà lưu trữ và người quản lý phần mềm của Internet Archive, xác nhận trang web đang bị tấn công DDoS, đăng trên Mastodon rằng “Theo Twitter của họ, họ làm thế chỉ vì có thể, không có tuyên bố, không có ý nghĩa nào, không có yêu cầu.” Brewster Kahley của Internet Archive cũng cho biết “Cuộc tấn công DDoS hôm qua vào @internetarchive đã lặp lại hôm nay. Chúng tôi đang nỗ lực đưa archive.org hoạt động trở lại.” Không ai trong số họ đề cập đến vụ vi phạm dữ liệu.

Một tài khoản trên X gọi là SN_Blackmeta tuyên bố đứng sau vụ tấn công này và ám chỉ một cuộc tấn công khác được lên kế hoạch cho ngày mai. Tài khoản này cũng đăng tải về việc đã DDoS Archive vào tháng Năm, và Scott trước đây đã nói về các cuộc tấn công có vẻ như nhắm vào việc phá hoại Internet Archive.