Xuất hiện biến thể mã độc Mirai từ Trung Quốc

Trong báo cáo tại Securelist, các nhà nghiên cứu bảo mật Kaspersky Lab đã dò ra một số máy tính đang dùng hệ điều hành Windows bị lây mã độc Mirai từ Trung Quốc.

Các nhà nghiên cứu cho biết mạng bot này có thể được tạo ra bởi các lập trình viên dày dạn kinh nghiệm hơn là những kẻ đã tấn công DDoS liên tiếp cuối năm 2016. Theo Kaspersky Lab, người phát triển mã độc này có thể là người nói tiếng Trung.

Mã độc mới này mạnh hơn so với nguyên bản mã độc Mirai cũ, nhưng đa phần thủ thuật và chức năng không có gì mới. May mắn thay, khả năng phát tán của Mirai vẫn còn hạn chế ở chỗ chỉ có thể phát tán từ máy tính Windows bị lây nhiễm đến các thiết bị IoT yếu thuộc hệ điều hành Linux nếu nó có thể bị tấn công kết nối telnet từ xa thành công. Tuy hạn chế về mặt này, vẫn còn một điều đáng lo ngại chính là tác giả lập trình nên mã độc này là một người dày dạn kinh nghiệm nên có thể tiềm ẩn nhiều nguy cơ. Khi các nhà nghiên cứu điều tra nguồn gốc, mã độc này được viết nên từ một hệ thống của Trung Quốc có máy chủ tại Đài Loan và có giấy phép trộm từ các công ty Trung Quốc.

Năm 2016, Mirai được xem là mã độc gây ra bao nỗi kinh hoàng cho hàng triệu người dùng Internet kể cả các doanh nghiệp, tổ chức lớn và chính phủ. Mirai có thể chiếm quyền kiểm soát hầu hết các thiết bị kết nối internet, trong đó có cả camera an ninh, thiết bị thông minh trong gia đình, biến các thiết bị thành botnet để tấn công vào DDoS với quy mô khổng lồ hướng đến nhiều hệ thống máy chủ, thiệt hại cực kỳ nghiêm trọng.

Mirai biến các thiết bị thành botnet để tấn công vào DDoS 

Giám đốc viện Nghiên cứu Bảo Mật của Kaspersky Lab, Kurt Baumgartner chia sẻ: “Sự xuất hiện của biến thể Mirai lai giữa Linux và Windows là một vấn đề rất đáng lo ngại, bởi đã có sự nhúng tay của các lập trình viên nhiều kinh nghiệm. Hẳn mọi người còn nhớ đợt tấn công bởi Trojan ngân hàng Zeus đã khiến toàn cộng đồng trực tuyến gặp rắc rối nhiều năm và giờ đây mã nguồn mạng lưới bot của các thiết bị IoT thuộc Mirai đang thực hiện những hành vi tương tự. Kẻ tấn công nay đã dày dạn kinh nghiệm hơn và nhiều kỹ năng tinh vi hơn đang phát tán mã độc Mirai khắp nơi mà không hề do dự. Botnet Windows dùng để phát tán IoT của Mirai có thể vượt qua các rào cản và cho phép phát tán Mirai đến nhiều thiết bị và mạng lưới mới.”

Tính đến nay, Kasperksy Lab đã ghi nhận được gần 500 hệ thống bị bot Windows này tấn công chỉ trong năm 2017 và may mắn là những nỗ lực lây lan này đều đã bị phát hiện và ngăn chặn kịp thời.

Biểu đồ những quốc gia dễ bị tấn công nhất bởi mã độc Mirai

Dựa theo những địa chỉ IP trong giai đoạn tấn công thứ hai này, những quốc gia dễ bị tấn công nhất là Ấn Độ, Việt Nam, Ả-rập Saudi, Trung Quốc, Iran, Brazil, Moroco, Thổ Nhĩ Kỳ, Malawi, Các tiểu vương quốc Ả-rập thống nhất, Pakistan, Tunisia, Nga, Moldova, Venezuela, Philippines, Colombia, Romania, Peru, Ai Cập và Bangladesh.

Hiện Kaspersky Lab cùng với đội ứng cứu máy tính khẩn cấp (CERT), nhà cung cấp và các nhà điều hành mạng đang giảm đáng kể số lượng máy chủ để giải quyết các mối đe dọa đối với cơ sở hạ tầng của Internet đang tăng lên một các báo động. Việc gỡ bỏ những máy chủ này sẽ làm giảm thiểu rủi ro và gián đoạn botnet IoT đang phát triển nhanh hiện nay.

Minh Hương