Hơn nửa triệu thiết bị định tuyến và lưu trữ ở hàng chục quốc gia đã bị nhiễm một phần mềm độc hại IoTbotnet phức tạp, có khả năng được thiết kế bởi nhóm hacker do Nga tài trợ.
Đơn vị tình báo mạng Talos của Cisco đã phát hiện ra một phần mềm độc hại IoT botnet, được gọi là VPNFilter, được thiết kế với khả năng linh hoạt để thu thập thông tin, can thiệp vào liên lạc internet, cũng như tiến hành các hoạt động tấn công mạng phá hoại.
Phần mềm độc hại đã lây nhiễm nhiễm ít nhất 500.000 thiết bị ở ít nhất 54 quốc gia, hầu hết là các bộ định tuyến văn phòng nhỏ và thiết bị lưu trữ kết nối internet từ Linksys, MikroTik, NETGEAR và TP-Link. Một số thiết bị lưu trữ mạng (NAS) cũng được nhắm tới.
VPNFilter là phần mềm độc hại đa tầng, có thể đánh cắp thông tin đăng nhập của trang web và theo dõi các hệ thống điều khiển công nghiệp hoặc SCADA, chẳng hạn như hệ thống lưới điện, cơ sở hạ tầng và nhà máy khác.
Phần mềm độc hại liên lạc qua mạng ẩn danh của Tor và thậm chí có chứa một killswitch cho các bộ định tuyến, nơi phần mềm độc hại cố ý tự hủy.
Không giống như hầu hết các phần mềm độc hại khác nhắm vào các thiết bị internet (IOT), giai đoạn đầu của VPNFilter vẫn tồn tại thông qua khởi động lại để đạt được chỗ đứng vững chắc trên thiết bị bị nhiễm và sau đó mới cho phép triển khai phần mềm độc hại thứ hai.
VPNFilter được đặt tên theo một thư mục (/var/run/vpnfilterw) phần mềm độc hại tạo ra để ẩn các tệp của nó trên thiết bị bị nhiễm.
Kể từ khi nghiên cứu vẫn đang tiếp diễn, các nhà nghiên cứu Talos “không có bằng chứng dứt khoát về cách tác nhân đe dọa khai thác các thiết bị bị ảnh hưởng”, nhưng họ tin tưởng mạnh mẽ rằng VPNFilter không khai thác bất kỳ lỗ hổng zero-day nào để lây nhiễm cho nạn nhân của nó.
Thay vào đó, phần mềm độc hại nhắm tới những thiết bị vẫn tiếp xúc với các lỗ hổng đã được công khai hoặc có thông tin xác thực mặc định để làm cho sự tương thích trở nên đơn giản.
Các nhà nghiên cứu Talos tin tưởng rằng chính phủ Nga đang đứng đằng sau VPNFilter vì mã độc chiếm phần lớn các phiên bản BlackEnergy – phần mềm độc hại chịu trách nhiệm cho nhiều cuộc tấn công quy mô lớn nhắm vào các thiết bị ở Ukraine mà chính phủ Mỹ đã quy cho Nga.
Mặc dù các thiết bị bị nhiễm VPNFilter đã được tìm thấy trên 54 quốc gia, các nhà nghiên cứu vẫn tin rằng tin tặc đang nhắm mục tiêu cụ thể đến Ukraine, sau một sự gia tăng nhiễm phần mềm độc hại ở nước này vào ngày 8 tháng Năm.
Nhà nghiên cứu Talos William Largent cho biết trong một bài đăng trên blog: “Các phần mềm độc hại có khả năng phá hoại có thể làm cho thiết bị bị nhiễm không thể sử dụng được, có thể được kích hoạt trên các máy tính cá nhân. Chúng có khả năng ngắt bỏ truy cập internet của hàng trăm nghìn nạn nhân trên toàn thế giới”.
Các nhà nghiên cứu cho biết họ đã phát hành những phát hiện của họ trước khi hoàn thành nghiên cứu do lo ngại về một cuộc tấn công sắp tới có thể xảy ra với Ukraine. Đất nước liên tục là nạn nhân của các cuộc tấn công mạng Nga, bao gồm cả cúp điện quy mô lớn và NotPetya.
Nếu bạn đã bị nhiễm phần mềm độc hại, hãy đặt lại bộ định tuyến của bạn về mặc định ban đầu để xóa phần mềm độc hại có khả năng phá hủy và cập nhật phần mềm cơ sở của bạn càng sớm càng tốt.
Bạn cần thận trọng hơn về bảo mật của các thiết bị IoT thông minh của mình. Để bảo vệ bản thân khỏi các cuộc tấn công phần mềm độc hại như vậy, bạn nên thay đổi thông tin đăng nhập mặc định cho thiết bị của mình
Nếu router của bạn là mặc định dễ bị tổn thương và không thể được cập nhật, vứt nó đi và mua một cái mới. Bảo mật và quyền riêng tư của bạn đáng giá hơn là một bộ định tuyến.
Hơn nữa, cài đặt tường lửa cho các bộ định tuyến của bạn và tắt quản trị từ xa cho đến khi và trừ khi bạn thực sự cần nó.
Đơn vị tình báo mạng Talos của Cisco đã phát hiện ra một phần mềm độc hại IoT botnet, được gọi là VPNFilter, được thiết kế với khả năng linh hoạt để thu thập thông tin, can thiệp vào liên lạc internet, cũng như tiến hành các hoạt động tấn công mạng phá hoại.
Phần mềm độc hại đã lây nhiễm nhiễm ít nhất 500.000 thiết bị ở ít nhất 54 quốc gia, hầu hết là các bộ định tuyến văn phòng nhỏ và thiết bị lưu trữ kết nối internet từ Linksys, MikroTik, NETGEAR và TP-Link. Một số thiết bị lưu trữ mạng (NAS) cũng được nhắm tới.
VPNFilter là phần mềm độc hại đa tầng, có thể đánh cắp thông tin đăng nhập của trang web và theo dõi các hệ thống điều khiển công nghiệp hoặc SCADA, chẳng hạn như hệ thống lưới điện, cơ sở hạ tầng và nhà máy khác.
Phần mềm độc hại liên lạc qua mạng ẩn danh của Tor và thậm chí có chứa một killswitch cho các bộ định tuyến, nơi phần mềm độc hại cố ý tự hủy.
Không giống như hầu hết các phần mềm độc hại khác nhắm vào các thiết bị internet (IOT), giai đoạn đầu của VPNFilter vẫn tồn tại thông qua khởi động lại để đạt được chỗ đứng vững chắc trên thiết bị bị nhiễm và sau đó mới cho phép triển khai phần mềm độc hại thứ hai.
VPNFilter được đặt tên theo một thư mục (/var/run/vpnfilterw) phần mềm độc hại tạo ra để ẩn các tệp của nó trên thiết bị bị nhiễm.
Kể từ khi nghiên cứu vẫn đang tiếp diễn, các nhà nghiên cứu Talos “không có bằng chứng dứt khoát về cách tác nhân đe dọa khai thác các thiết bị bị ảnh hưởng”, nhưng họ tin tưởng mạnh mẽ rằng VPNFilter không khai thác bất kỳ lỗ hổng zero-day nào để lây nhiễm cho nạn nhân của nó.
Thay vào đó, phần mềm độc hại nhắm tới những thiết bị vẫn tiếp xúc với các lỗ hổng đã được công khai hoặc có thông tin xác thực mặc định để làm cho sự tương thích trở nên đơn giản.
Các nhà nghiên cứu Talos tin tưởng rằng chính phủ Nga đang đứng đằng sau VPNFilter vì mã độc chiếm phần lớn các phiên bản BlackEnergy – phần mềm độc hại chịu trách nhiệm cho nhiều cuộc tấn công quy mô lớn nhắm vào các thiết bị ở Ukraine mà chính phủ Mỹ đã quy cho Nga.
Mặc dù các thiết bị bị nhiễm VPNFilter đã được tìm thấy trên 54 quốc gia, các nhà nghiên cứu vẫn tin rằng tin tặc đang nhắm mục tiêu cụ thể đến Ukraine, sau một sự gia tăng nhiễm phần mềm độc hại ở nước này vào ngày 8 tháng Năm.
Nhà nghiên cứu Talos William Largent cho biết trong một bài đăng trên blog: “Các phần mềm độc hại có khả năng phá hoại có thể làm cho thiết bị bị nhiễm không thể sử dụng được, có thể được kích hoạt trên các máy tính cá nhân. Chúng có khả năng ngắt bỏ truy cập internet của hàng trăm nghìn nạn nhân trên toàn thế giới”.
Các nhà nghiên cứu cho biết họ đã phát hành những phát hiện của họ trước khi hoàn thành nghiên cứu do lo ngại về một cuộc tấn công sắp tới có thể xảy ra với Ukraine. Đất nước liên tục là nạn nhân của các cuộc tấn công mạng Nga, bao gồm cả cúp điện quy mô lớn và NotPetya.
Nếu bạn đã bị nhiễm phần mềm độc hại, hãy đặt lại bộ định tuyến của bạn về mặc định ban đầu để xóa phần mềm độc hại có khả năng phá hủy và cập nhật phần mềm cơ sở của bạn càng sớm càng tốt.
Bạn cần thận trọng hơn về bảo mật của các thiết bị IoT thông minh của mình. Để bảo vệ bản thân khỏi các cuộc tấn công phần mềm độc hại như vậy, bạn nên thay đổi thông tin đăng nhập mặc định cho thiết bị của mình
Nếu router của bạn là mặc định dễ bị tổn thương và không thể được cập nhật, vứt nó đi và mua một cái mới. Bảo mật và quyền riêng tư của bạn đáng giá hơn là một bộ định tuyến.
Hơn nữa, cài đặt tường lửa cho các bộ định tuyến của bạn và tắt quản trị từ xa cho đến khi và trừ khi bạn thực sự cần nó.
