Botnet tăng cường tấn công DDoS vào hàng ngàn Router của SOHO

hacking-routers

SOHO Router (Small office & home office router) đang ngày càng trở thành mục tiêu phổ biến với tội phạm mạng. Bởi hầu hết router tại các hộ gia đình và doanh nghiệp nhỏ thường được quản lý lỏng lẻo, khả năng bảo mật kém. Gần đây, tin tặc đang sử dụng botnet tấn công DDoS vào hàng ngàn SOHO router.

Một nhóm các nhà nghiên cứu bảo mật đã tiến hành điều tra các cuộc tấn công DDoS với khách hàng của mình từ cuối năm 2014 và phát hiện ra một botnet bộ định tuyến thường xuyên hoạt động. Trong thời gian điều tra, các nhà nghiên cứu đã ghi lại lượng truy cập độc hại nhắm mục tiêu vào 60 +khách hàng của họ từ 40.260 địa chỉ IP đến từ 1.600 ISP trên toàn thế giới.

Hầu như tất cả các bộ định tuyến nhiễm độc đều là một phần của mạng botnet, có mẫu như nền tảng ARM của công ty dịch vụ mạng Ubiquiti Networks. Điều này cho thấy rằng, tội phạm mạng đang khai thác một lỗ hổng phần mềm trong các bộ định tuyến. Tuy nhiên, khi kiểm tra sâu, các nhà nghiên cứu lại phát hiện ra rằng:

  • Tất cả các bộ định tuyến bị xâm nhập có thể được truy cập từ xa vào các cổng mặc định thông qua HTTP hoặc SSH
  • Hầu như tất cả các tài khoản người dùng đều sử dụng thông tin đăng nhập của nhà cung cấp mà không tiến hành đổi mật khẩu, tên tài khoản

Chính điều này đã giúp tin tặc thực hiện dễ dàng tấn công MITM để nghe lén các thông tin liên lạc, đánh cắp cookie và truy cập đến các thiết bị mạng nội bộ khác như camera. Các công ty an ninh mạng cũng phát hiện ra một loạt các chương trình phần mềm độc hại DDoS, bao gồm MrBlack, Dofloo, Mayday, được cài đặt trên các thiết bị an toàn và thực hiện các nhiệm vụ:

  • Chuyển hướng nạn nhân đến các trang độc hại
  • Làm gián đoạn giao dịch ngân hàng trực tuyến của nạn nhân
  • Tiêm nhiễm quảng cáo độc hại vào trang web mà nạn nhân truy cập
  • Đánh cắp thông tin đăng nhập của các tài khoản trực tuyến khác
  • Thực hiện các hoạt động bất hợp pháp khác

Nhóm tin tặc Lizard Squad là tình nghi lớn nhất đứng sau các cuộc tấn công botnet này. Vì thế, để đảm bảo an toàn cho các thiết bị của mình, người dùng nên lưu ý:

  • Vô hiệu hóa tất cả các truy cập từ xa tới thiết bị, trừ khi nó là đặc biệt cần thiết
  • Thay đổi thông tin đăng nhập mặc định cho router
  • Cập nhật phần mềm bảo vệ router thường xuyên

Theo THN

Bình luận

Từ khóa: