Mạng ma tấn công DDOS hệ thống 164 quốc gia có thể bị hack ngược

Vào đầu tháng 10/2016, các hacker đã phát triển thành công phần mềm độc hại mang tên Mirai có thể thâm nhập và khống chế hàng triệu thiết bị IoT (thiết bị gia dụng thông minh) trên 164 quốc gia. Điều bất ngờ là, mạng botnet của phần mềm độc hại này hoàn toàn có thể bị hack ngược trở lại nhờ khai thác các lỗ hổng bảo mật tồn tại trong nó.

Cuộc tấn công trên diện rộng ngày 21/10 vừa qua đã DDOS (tấn công từ chối dịch vụ) gây ra sự cố mất truy cập internet diện rộng nhằm vào nhà cung cấp Dyn, làm mất kiểm soát hàng triệu thiết bị gia dụng thông minh ở 164 nước. Các thiết bị nạn nhân chủ yếu là các router, các camera và các ổ DVR vẫn đang sử dụng các mật khẩu mặc định. Sau khi mã độc Mirai dò tìm thấy các thiết bị này, nó sẽ thực hiện việc xâm nhập vào chiếm quyền điều khiển, biến các thiết bị này thành “bot mắt xích” trong chuỗi mạng ma botnet và tạo nên các cuộc tấn công từ chối dịch vụ.

Tuy nhiên, sau khi xem xét kỹ mã nguồn này, nhà nghiên cứu Scott Tenaglia tại hãng bảo mật Invincea đã phát hiện ra một lỗ hổng làm tràn bộ đệm ngăn xếp (stack buffer overflow) trong một đoạn code của Mirai. Lỗ hổng này được sử dụng để thực hiện các cuộc tấn công làm tràn mục tiêu bằng truy vấn HTTP. Nếu các nhà nghiên cứu thực hiện việc khai thác lỗ hổng này có thể đánh sập quá trình DDOS của Mirai và giải thoát cho các thiết bị nạn nhân của nó mà không làm ảnh hưởng gì đến chức năng căn bản của thiết bị. Tenaglia cho biết: “Cho dù nó không thể sử dụng để loại bỏ bot ra khỏi thiết bị IoT, nó cũng có thể được sử dụng để ngăn chặn khởi nguồn của cuộc tấn công từ thiết bị cụ thể đó.”

Mặc dù nghiên cứu chỉ ra rằng kết quả có thể giúp nhiều nhà sản xuất và người dùng có biện pháp phòng vệ trước các cuộc tấn công xảy ra trong tương lai, tuy nhiên, nó cũng bị trở ngại về mặt pháp lý. Hack là phạm pháp.

Vì sao phòng vệ bằng hack ngược không  khả thi?

Hack ngược là khai thác lỗ hổng và xâm nhập thêm lần nữa vào hàng loạt thiết bị IoT, nghĩa là tạo ra các thay đổi trên hệ thống thuộc hàng loạt quốc gia khác nhau mà không có sự cho phép từ người sở hữu thiết bị, một nhà cung cấp dịch vụ hay một nhà mạng nào. Hơn nữa, nhà nghiên cứu cũng đã tuyên bố từ chối mọi trách nhiệm có thể xảy ra đối với việc thực hiện nghiên cứu của mình. Họ cũng không hoàn toàn ủng hộ việc “phòng vệ kiểu phản công” này.

Mặc dù có những trở ngại về pháp lý, tuy nhiên trong quá khứ đã có tiền lệ hacker mũ trắng được cơ  quan hành pháp cho phép thực thi việc hack hệ thống nhằm đưa các thiết bị tránh khỏi tình trạng bị khai thác làm công cụ phạm tội.

Vào tháng 9/2016, cuộc tấn công DDoS  trước đó có nguồn gốc từ botnet Mirai đã hạ gục nhà cung cấp dịch vụ Internet và hosting của Pháp OVH với băng thông rác lên đến 1 Tbps, lưu lượng lớn nhất cho một cuộc tấn công DDoS từ trước đến nay.

Xuân Dung