Phát hiện botnet khổng lồ tạo thành từ các CCTV bị xâm nhập

Botnet đang hoạt động tích cực trong vài tuần gần đây, chủ yếu bao gồm các hệ thống camera giám sát (CCTV) bị xâm nhập từ khắp các nước trên thế giới. Nó được phát hiện lần đầu khi một cửa hàng trang sức bị ảnh hưởng bởi cuộc tấn công DDoS kéo dài.

Các chuyên gia cho rằng đã bảo vệ được website, và thông thường tin tặc sẽ chuyển hướng tới các mục tiêu khác. Tuy nhiên, họ đã hoàn toàn bất ngờ. Trong khi cuộc tấn công ban đầu là DDoS Layer 7 với hơn 35.000 truy vấn HTTP mỗi giây nhắm tới máy chủ và chiếm giữ bộ nhớ bằng lưu lượng “rác”. Ngay sau khi nhận thấy trang web nạn nhân được nâng cấp, những kẻ tấn công nhanh chóng đẩy mạnh cuộc tấn công đến 50.000 truy vấn.

Đối với tấn công DDoS Layer 7 thì đây là một số lượng rất lớn, đủ để đánh sập bất cứ máy chủ nào. Nhưng lần này tin tặc không làm vậy mà duy trì mức cao trong nhiều ngày.

Mạng botnet cho phép tin tặc tiến hành các cuộc tấn công quy mô lớn

Thông thường, các cuộc tấn công DDoS chập chờn tùy thuộc vào việc các bot online hay offline. Việc tin tặc duy trì lưu lượng ở mức cao có đồng nghĩa với các bot luôn trong trạng thái trực tuyến.

Nghiên cứu của Sucuri cũng chỉ ra 25.513 địa chỉ IP duy nhất (unique) của cuộc tấn công xuất phát từ đâu. Một số trong đó là các địa chỉ IPv6. Các IP này rải rác trên khắp thế giới, và không bắt nguồn các máy tính bị nhiễm malware mà từ hệ thống camera giám sát (CCTV).

Đài Loan chiếm một phần tư trong số các IP bị xâm nhập, tiếp theo là Mỹ, Indonesia, Mexico, và Malaysia. Tổng cộng, các hệ thống CCTV bị xâm nhập đặt tại 105 quốc gia.

Các lỗ hổng trong firmware TVT chưa được vá là nguyên nhân

Trong số các IP này, 46% là của các hệ thống CCTV thương hiệu H.264 DVR. Còn lại các các hệ thống ProvisionISR, QseE, QUESTEK, TechnoMate, LCT CCTV, Chụp CCTV, Elvox, Novus hoặc MagTec CCTV.

Các chuyên gia cho biết những thiết bị này có thể liên quan tới nghiên cứu của chuyên gia Rotem Kerner – người đã phát hiện backdoor trong firmware của 70 nhà cung cấp CCTV DVR khác nhau. Các công ty này đã mua các thiết bị DVR từ hãng TVT của Trung Quốc. Khi được thông báo về vấn đề trong firmware, TVT đã lơ đi và vấn đề chưa bao giờ được khắc phục. Điều này dẫn tới việc tin tặc tạo ra botnet khổng lồ này.

Đây không phải lần đầu tiên một botnet được tạo thành bởi các hệ thống CCTV được sử dụng để tấn công DDoS. Tháng 10 năm ngoái, các chuyên gia cũng phát hiện một botnet tương tự quy mô nhỏ hơn với 900 bot.