Botnet hay còn được gọi là “mạng robot”, bao gồm nhiều tập lệnh mã độc nguy hiểm và phổ biến do các trình thuật viên mã thiết kế và được tác nhân xấu sử dụng. Theo nghĩa thông thường, botnet là một loại cửa hậu (backdoor) độc hại đã được cài đặt trên một số lượng lớn các thiết bị kết nối Internet bị nhiễm mã độc.
Điều này có thể cho phép kẻ tấn công thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS), ghi lại nhật ký các phiên hoạt động của người dùng và đánh cắp dữ liệu cá nhân từ thiết bị bị nhiễm mã độc, phát tán thư rác và truy cập vào các hệ thống khác trên mạng mục tiêu, vì vậy nó có thể lây lan xa hơn, thêm nhiều máy hơn vào mạng robot, giúp tác nhân xấu kiểm soát từ máy chủ chỉ huy và điều khiển. Vì lý do này, botnet còn được gọi là “đội quân thây ma”.
Jindrich Karasek – nhà nghiên cứu các mối đe dọa mạng tại công ty an ninh mạng Trend Micro đã theo dõi hoạt động phần mềm độc hại tập trung vào khai thác tiền điện tử trong suốt tháng 8 và chia sẻ kết quả có được.
Sau khi thiết lập môi trường hấp dẫn, cho phép Karasek mô phỏng các thiết bị được kết nối Android, một tác nhân xấu không xác định đã đột nhập để cài đặt mạng botnet khai thác tiền điện tử bất hợp pháp.
Theo nhà nghiên cứu, một số tội phạm mạng dường như đã chuyển trọng tâm từ việc đột nhập vào hệ thống máy tính sang giành quyền truy cập vào các thiết bị Android như điện thoại, ki-ốt, máy tính bảng và ti vi thông minh. Điều này không có gì ngạc nhiên khi toàn bộ cuộc sống cá nhân của mọi người chỉ giới hạn trong các thiết bị thông minh.
Lý do gây ra thực trạng này có thể là các thiết bị phần lớn không được bảo vệ vì thường không có biện pháp chống vi-rút, khiến chúng dễ bị tấn công.
Do đó, phần mềm độc hại có thể tấn công các thiết bị bằng cách tìm kiếm cổng Android Debug Bridge (ADB) đang mở và lây lan thông qua Secure Socket Shell (SSH), là một giao thức mạng mật mã để cung cấp thông tin đăng nhập từ xa an toàn, thậm chí thông qua mạng không được bảo mật.
Điều này có thể thực hiện được vì các cổng ADB đang mở không yêu cầu khóa xác thực theo mặc định, tương tự như khả năng lây lan của mạng botnet Satori – còn được gọi là “Masuta”, một biến thể của mạng botnet Mirai – đã xuất hiện trên nhiều trang báo vào năm ngoái và tháng 6 năm nay, khi một số nhà khai thác mạng botnet bị bắt vì lây nhiễm cho hàng trăm nghìn bộ định tuyến không dây dễ bị tấn công và các thiết bị kết nối Internet of Things (IoT) khác.
Phần mềm độc hại cryptojacking xuất hiện dày đặc
Phần mềm độc hại cryptojacking (là hình thức mà tội phạm sử dụng để kiếm tiền bằng phần cứng của người khác) đã xuất hiện trong nhiều năm. Nó tìm cách đột nhập vào thiết bị mạng của mọi người, hoạt động trong hệ thống, sau đó bắt đầu ăn cắp tài nguyên và tất nhiên thu thập tiền điện tử thông qua các phương tiện bất hợp pháp. Theo thống kê trong 6 tháng đầu năm 2019, tội phạm mạng đã thực hiện 52,7 triệu cuộc tấn công cryptojacking.
Karasek dẫn chứng cụ thể về một botnet khai thác tiền điện tử, giải thích rằng nó cố gắng xâm nhập vào các kiến trúc IoT và nhiều loại chip di động khác nhau như kiến trúc ARM, x86, m68k, mips, msp, ppc và sh4.
Theo nhà nghiên cứu, địa chỉ IP của kẻ đe dọa đang quét trên mạng Internet để tìm các cổng ADB mở từ thiết bị Android có Internet.
Giống như với tất cả các công cụ khai thác, botnet sử dụng kỹ thuật trốn tránh làm giảm sức mạnh tính toán của thiết bị Android, cấu hình lại tài nguyên hệ thống để hoạt động hiệu quả hơn và giúp đảm bảo sự tồn tại của chính nó bằng cách giữ kín đáo nhất có thể.
Anh giải thích thêm về cách thức bot có thể lây nhiễm hiệu quả cho người dùng Android, làm rõ rằng bảo mật của các thiết bị Android thường được thiết lập theo cách không cho phép kẻ tấn công nhảy từ thiết bị này sang thiết bị khác qua mạng. Tuy nhiên, phương pháp lây lan lý tưởng sẽ là một điểm truy cập không dây công cộng. Karasek tiếp tục:
“Hãy tưởng tượng trong một sân bay, phòng hội nghị khổng lồ hoặc trung tâm mua sắm. Họ có thể có nhiều màn hình, TV và các thiết bị khác chạy phần mềm Android được kết nối qua mạng để quản trị tốt hơn. Hoặc các thiết bị Android cũ hơn, được kết nối một cách liều lĩnh với mạng mà không có bất kỳ biện pháp bảo vệ nào. Khi đó, vô tình botnet được lợi”.
Sâu xa hơn, Karasek lưu ý mã nguồn botnet được viết rất đơn giản và thậm chí là chung chung, có nghĩa là nó không mang đặc điểm độc đáo thường có mà những người viết mã phát triển phong cách độc đáo của riêng họ, giống như văn học được viết bởi các tác giả nổi tiếng cộng hưởng với cá tính nhất định, đặc trưng cho phong cách viết của cá nhân. Karasek nói:
“Một số logic được phát hiện cho nhóm ngoài vòng pháp luật, nhưng trên thực tế, họ cũng có thể chia sẻ mã để những người không chuyên sử dụng. Các cuộc tấn công như thế này nhiều khả năng là hoạt động tội phạm mạng hơn là hoạt động liên quan đến APT. Chủ yếu là họ theo đuổi XMR, LTC và Bitcoin”.
Theo Karasek, hoạt động của mạng botnet không dành riêng cho từng quốc gia.
“Ước tính dựa trên kinh nghiệm của tôi, khoản thu được không quá hàng nghìn đô la. Khai thác như thế này không còn hiệu quả nữa. Tuy nhiên, đủ để hỗ trợ một nhóm nhỏ các nhà khai thác, nhưng không đủ để tạo ra lợi nhuận cho một tổ chức lớn”.
Monero (XMR) liên tục được đưa ra bàn luận vào đầu năm nay, một phần là do sự ra đời của mạng botnet cryptojacking mới có tên là “Prometei” theo các nhà nghiên cứu làm việc tại Cisco Talos.
Vào năm 2018, mạng botnet khai thác tiền điện tử Smoninru đã đột nhập vào nửa triệu thiết bị máy tính, nắm quyền chỉ huy thiết bị và buộc máy phải khai thác gần 9.000 XMR. Chủ sở hữu thiết bị không biết thiết bị của họ đã bị xâm phạm.
Theo một nghiên cứu được các nhà nghiên cứu học thuật ở Tây Ban Nha và Vương quốc Anh công bố, kể từ năm 2019, XMR là loại tiền điện tử được ưa thích trong số tội phạm mạng ở các nền kinh tế ngầm. Vào thời điểm đó, hơn 4% tổng số XMR đang lưu hành được khai thác bởi mạng botnet và các hoạt động của tội phạm mạng. Theo đó, bọn tội phạm thu được lợi nhuận 57 triệu đô la XMR.
Siêu máy tính cũng là một mục tiêu hấp dẫn
Điện thoại thông minh, máy tính bảng, ti vi thông minh và máy tính cá nhân không phải là thiết bị duy nhất mà các tác nhân xấu đang quét tìm để thực hiện chương trình tấn công khai thác tiền điện tử. Xét cho cùng, nếu tốc độ là yếu tố cần thiết trong khai thác tiền điện tử, thì các máy tính có công suất mạnh nhất là một mục tiêu lựa chọn rõ ràng.
Ngày nay, không có gì ngạc nhiên khi các tác nhân đang nhắm mục tiêu vào siêu máy tính, cung cấp phép tính nhanh nhất trên trái đất. Theo nghĩa thông thường, siêu máy tính thường được sử dụng để thực hiện các phép tính khoa học nhanh hơn hàng nghìn lần so với máy tính truyền thống.
Do đó, siêu máy tính rõ ràng là một mục tiêu lý tưởng trong tâm trí của kẻ khai thác tiền điện tử bất hợp pháp, đang tìm cách hưởng lợi từ sức mạnh tính toán cực cao.
Tốc độ hoạt động của siêu máy tính thường được đo bằng các phép toán thập phân trên giây, được gọi là “FLOPS”, trái ngược với một triệu lệnh mỗi giây (IPS).
Ví dụ như siêu máy tính nhanh nhất trên thế giới The Titan, là siêu máy tính Cray Titan tại Phòng thí nghiệm quốc gia Oak Ridge National Laboratory có trụ sở tại Tennessee, có thể thực hiện 27.000 nghìn tỷ phép tính mỗi giây với tốc độ cao nhất theo lý thuyết là 27 petaflop.
Như đã báo cáo, các nạn nhân ở Hoa Kỳ, Canada, Trung Quốc, một số khu vực của Châu Âu, Anh, Đức và Tây Ban Nha dường như đã trở thành mục tiêu trong một chuỗi các cuộc tấn công botnet khai thác tiền điện tử nhằm vào các phòng máy tính hiệu năng cao.
Các chuyên gia bảo mật kiểm tra vụ xâm nhập cho biết tất cả những sự cố này dường như đều liên quan đến tác nhân sử dụng thông tin đăng nhập SSH bị đánh cắp từ những người dùng có thẩm quyền, có thể là nhà nghiên cứu tại trường đại học và đồng nghiệp của họ.
Giới nhà nghiên cứu đã thực hiện các bài kiểm tra trên hệ thống để xác định xem liệu họ có thể phát hiện ra phần mềm độc hại hay không bằng cách so sánh một mã lành tính đã biết với một tập lệnh khai thác Bitcoin độc hại. Đổi lại, họ xác định hệ thống của họ có thể tìm ra mã độc hại mà không bị chậm trễ. Điều này được chứng minh là đáng tin cậy hơn so với việc sử dụng các thử nghiệm thông thường.
Các cuộc xâm nhập vào siêu máy tính khiến chúng phải ngừng hoạt động để điều tra. Ngoại tuyến siêu máy tính cho phép nhà điều tra cô lập mã độc, ngăn chặn tác nhân gửi lệnh đến máy tính bị nhiễm hoặc xóa bằng chứng xâm nhập.
Khi sự thật phơi bày, có thể hiểu được rằng người dùng và những người ứng phó sự cố đang yếu thế hơn trong cuộc chiến chống lại những kẻ xấu này. Tuy nhiên, đã có nhiều giải pháp được đặt ra để giải quyết thực trạng.
Những người ứng phó với mối đe dọa mạng đang chống trả bằng vũ khí của riêng họ. Ví dụ, vào tháng trước, các nhà khoa học máy tính tại Phòng thí nghiệm Quốc gia Los Alamos National Laboratory đã thiết kế một hệ thống trí tuệ nhân tạo (AI) hiện đại mới có khả năng xác định phần mềm độc hại thâm nhập vào siêu máy tính nhằm mục đích khai thác tiền điện tử.
Gopinath Chennupati, một nhà nghiên cứu tại Phòng thí nghiệm Quốc gia Los Alamos, cho biết:
“Dựa trên những vụ đột nhập máy tính gần đây ở châu Âu và các nơi khác, cần có cơ quan giám sát phần mềm này để ngăn chặn những kẻ khai thác tiền điện tử xâm nhập vào các cơ sở máy tính hiệu suất cao và đánh cắp tài nguyên máy tính quý giá. Mô hình trí tuệ nhân tạo học sâu của chúng tôi được thiết kế để phát hiện việc lạm dụng sử dụng siêu máy tính đặc biệt cho mục đích khai thác tiền điện tử ”.
Tìm cách mới để vừa tấn công vừa bảo vệ
Có rất nhiều ý kiến về mức độ an toàn của các thiết bị dựa trên Android. Hàng tỷ người sử dụng điện thoại thông minh hoặc máy tính bảng Android, với nhiều mẫu điện thoại cũ hơn không thể nâng cấp chương trình mới nhất hoặc với các bản vá/bản cập nhật bảo mật mới nhất và chưa kể số lượng người dùng Android thường trì hoãn các bản cập nhật bắt buộc, khiến thiết bị của họ có thể bị tấn công.
Thông thường, người dùng lưu ảnh cá nhân, tin nhắn, mật khẩu và ví điện tử nhằm tiện lợi trong quá trình tương tác xã hội và kinh tế nhưng khi một kẻ đe dọa không xác định đột nhập và giành quyền truy cập vào “bản thiết kế kỹ thuật số”, xác định không gian cá nhân của chúng ta, nó được coi là vi phạm cơ bản. Thậm chí, kẻ xấu có thể trộm tiền lương và để lại hậu quả thảm khốc ở cấp độ cá nhân.
Mặt khác, ngay cả khi những kẻ xấu đang sinh sôi nảy nở và phát hiện ra những cách mới để lợi dụng người dùng và thiết bị thông minh hoặc siêu máy tính của trường đại học để thực hiện hành vi phạm tội thì các nhà nghiên cứu bảo mật vẫn ở đó, phát triển và triển khai các cải tiến mới nhằm giúp cả người dùng và ngành chiếm ưu thế trong cuộc chiến cam go này giữa tội phạm mạng và thế giới kết nối mà chúng ta đang sống.
- Gã khổng lồ môi giới hashpower NiceHash bác bỏ cáo buộc đồng lõa trong cuộc tấn công 51% vào Ethereum Classic
- Trình duyệt Brave bổ sung các thủ thuật mới để bảo vệ người dùng khỏi tấn công phishing
- Bitcoin trông cực kỳ giống với khi mới bắt đầu cuộc biểu tình tiến đến $20K
Thùy Trang
Theo Beincrypto
