Phát hiện botnet độc hại “Pink” lây nhiễm cho hơn 1,6 triệu thiết bị

pink botnet

Các chuyên gia an ninh mạng đã công bố chi tiết về những gì theo họ là “lượng botnet lớn nhất” được quan sát trong vòng 6 năm qua. Chúng lây nhiễm cho hơn 1,6 triệu thiết bị chủ yếu ở Trung Quốc với mục tiêu phát động tấn công từ chối dịch vụ (DDoS) và chèn quảng cáo vào website HTTP khi người dùng truy cập.

Đội bảo mật của Qihoo 360’s Netlab đặt biệt danh cho botnet này là “Pink” dựa trên mẫu họ thu được vào ngày 21/11/2019 do có một số lượng lớn tên chức năng bắt đầu bằng chữ “pink”.

Chủ yếu nhắm vào các bộ định tuyến sử dụng kiến trúc MIPS, botnet này tận dụng sự kết hợp của các dịch vụ bên thứ 3 như GitHub, mạng ngang hàng (P2P) và máy chủ điều khiển và chỉ huy trung tâm (C2) để để những con bot có thể điều khiển liên lạc. Chưa kể đến việc mã hóa hoàn toàn các kênh truyền tải để ngăn các thiết bị của nạn nhân bị chiếm quyền.

“Pink chạy đua với nhà cung cấp để giữ quyền kiểm soát các thiết bị bị nhiễm, trong khi nhà cung cấp thực hiện nhiều nỗ lực để khắc phục sự cố, kẻ điều khiển bot cũng nhận ra hành động của nhà cung cấp theo thời gian thực và tung ra nhiều bản cập nhật firmware tương ứng trên bộ định tuyến.”- các chuyên gia cho hay trong một bài phân tích được công bố tuần trước, sau những hành động bởi một nhà cung cấp chưa được xác định và Trung tâm ứng cứu khẩn cấp không gian mạng Trung Quốc (CNCERT/CC).

botnet

Một điểm thú vị là Pink cũng đã được phát hiện sử dụng DNS-Over-HTTPS (DoH), một giao thức xử lý tên miền từ xa thông qua giao thức HTTPS nhằm kết nối tới bộ điều khiển được chỉ định trong tệp tin cấu hình được phân phát thông qua GitHub, Baidu Tieba hoặc qua một tên miền đã được lập trình cứng (hard-coded) vào trong một số mẫu.

Công ty an ninh mạng NSFOCUS có trụ sở ở Bắc Kinh cho biết trong một báo cáo độc lập rằng hơn 96% các node ma là một phần của một “mạng lưới bot khổng lồ” được đặt ở Trung Quốc. Các tin tặc thường xâm nhập vào các thiết bị nhằm cài đặt các chương trình độc hại bằng cách lợi dụng các lỗ hổng zero-day trong các cổng mạng (network gateway) của thiết bị. Mặc dù một phần lớn các thiết bị bị nhiễm mã độc đã được sửa và khôi phục vào thời điểm tháng 7/2020, botnet độc hại này được cho hay là vẫn đang hoạt động với số lượng khoảng 100 nghìn node.

Với gần 100 cuộc tấn công DDoS được thực hiện bởi botnet tính tới thời điểm hiện tại, phát hiện này là một dấu hiệu khác bổ sung cho việc botnet có thể cung cấp một cơ sở hạ tầng mạnh mẽ để các tin tặc có thể thực hiện nhiều cuộc tấn công khác nhau. Các chuyên gia của NSFOCUS cho biết: “Các thiết bị IoT đã trở thành một mục tiêu quan trọng của các tổ chức đen (black production organizations) và các tổ chức tấn công có chủ đích (APT). Mặc dù Pink là botnet lớn nhất từng được phát hiện, nó sẽ không bao giờ là cái cuối cùng”.

Theo Thehackernews