Giới chức Hà Lan vừa công bố chiến dịch triệt phá một mạng botnet quy mô lớn được cho là đã kiểm soát ít nhất 17 triệu thiết bị trên toàn cầu, bao gồm máy tính, điện thoại thông minh, máy tính bảng và các thiết bị Internet of Things (IoT). Vụ việc một lần nữa cho thấy mức độ nguy hiểm của các mạng lưới thiết bị bị chiếm quyền điều khiển trong các hoạt động tội phạm mạng hiện nay.
17 triệu thiết bị bị biến thành "đội quân" phục vụ tội phạm mạng
Theo thông tin từ cảnh sát Hà Lan và Trung tâm An ninh mạng Quốc gia Hà Lan (NCSC), mạng botnet này vận hành thông qua hơn 200 máy chủ đặt tại Hà Lan, đóng vai trò là hạ tầng điều khiển và quản lý toàn bộ hệ thống.
Trong quá trình điều tra, lực lượng chức năng đã thu giữ một phần các máy chủ từ một nhà cung cấp dịch vụ lưu trữ hạ tầng. Sau khi xác định hệ thống bị lợi dụng cho mục đích phạm tội, nhà cung cấp này đã phối hợp đưa toàn bộ mạng lưới ngoại tuyến.
Mặc dù cơ quan chức năng không công bố chính thức tên của botnet, truyền thông Hà Lan cho biết dịch vụ liên quan được cho là Asocks, một nền tảng cung cấp proxy dân dụng đang hoạt động trên thị trường.
Trong quá trình điều tra, lực lượng chức năng đã thu giữ một phần các máy chủ từ một nhà cung cấp dịch vụ lưu trữ hạ tầng. Sau khi xác định hệ thống bị lợi dụng cho mục đích phạm tội, nhà cung cấp này đã phối hợp đưa toàn bộ mạng lưới ngoại tuyến.
Mặc dù cơ quan chức năng không công bố chính thức tên của botnet, truyền thông Hà Lan cho biết dịch vụ liên quan được cho là Asocks, một nền tảng cung cấp proxy dân dụng đang hoạt động trên thị trường.
Proxy dân dụng và mặt tối phía sau
Asocks quảng bá các gói proxy doanh nghiệp, proxy dân dụng và proxy di động với mức giá từ 5 đến 15 USD mỗi tháng. Nền tảng này cũng áp dụng các chương trình giảm giá cho khách hàng mua số lượng lớn.
Trên thực tế, proxy dân dụng là công nghệ có nhiều ứng dụng hợp pháp, chẳng hạn như truy cập các nội dung bị giới hạn theo khu vực địa lý hoặc bảo vệ quyền riêng tư trực tuyến.
Tuy nhiên, lĩnh vực này cũng tồn tại một "vùng xám" khi nhiều dịch vụ bị cáo buộc cung cấp quyền truy cập vào các thiết bị đã bị xâm nhập trái phép. Các đối tượng tấn công có thể thuê hoặc mua quyền sử dụng những thiết bị này để che giấu nguồn gốc lưu lượng mạng, phát tán mã độc hoặc thực hiện các cuộc tấn công mạng quy mô lớn.
Liên hệ với chiến dịch lây nhiễm Android trước đây
Trước đó, vào tháng 4/2024, nhóm nghiên cứu Satori Threat Intelligence thuộc HUMAN đã phát hiện chiến dịch mang tên PROXYLIB.
Chiến dịch này được cho là đã lây nhiễm nhiều thiết bị Android bằng phần mềm proxyware liên quan đến LumiApps và Asocks. Sau khi bị lây nhiễm, thiết bị của nạn nhân có thể bị sử dụng như một điểm trung chuyển lưu lượng mạng mà người dùng hoàn toàn không hay biết.
Theo các chuyên gia an ninh mạng, đây là một trong những phương thức phổ biến để xây dựng các mạng botnet hoặc mạng proxy dân dụng quy mô lớn.
Chiến dịch này được cho là đã lây nhiễm nhiều thiết bị Android bằng phần mềm proxyware liên quan đến LumiApps và Asocks. Sau khi bị lây nhiễm, thiết bị của nạn nhân có thể bị sử dụng như một điểm trung chuyển lưu lượng mạng mà người dùng hoàn toàn không hay biết.
Theo các chuyên gia an ninh mạng, đây là một trong những phương thức phổ biến để xây dựng các mạng botnet hoặc mạng proxy dân dụng quy mô lớn.
Thiết bị cá nhân có thể trở thành công cụ tấn công mạng
NCSC cảnh báo rằng bất kỳ thiết bị nào kết nối Internet đều có nguy cơ trở thành một phần của botnet nếu bị tin tặc chiếm quyền truy cập.
Sau khi xâm nhập thành công, kẻ tấn công có thể cài đặt mã độc cho phép điều khiển thiết bị từ xa. Những thiết bị bị kiểm soát sau đó được sử dụng để thực hiện các hoạt động như phát tán thư rác, tấn công từ chối dịch vụ DDoS, che giấu danh tính tội phạm mạng hoặc hỗ trợ các chiến dịch tấn công khác.
Vụ triệt phá lần này cũng làm dấy lên nhiều cuộc thảo luận trên các diễn đàn công nghệ. Nhiều chuyên gia cho rằng người dùng thường chỉ tập trung bảo vệ máy tính và điện thoại, trong khi các thiết bị IoT như camera giám sát, router WiFi, TV thông minh hay thiết bị nhà thông minh lại thường bị bỏ quên, trở thành mắt xích yếu trong hệ thống bảo mật.
Sau khi xâm nhập thành công, kẻ tấn công có thể cài đặt mã độc cho phép điều khiển thiết bị từ xa. Những thiết bị bị kiểm soát sau đó được sử dụng để thực hiện các hoạt động như phát tán thư rác, tấn công từ chối dịch vụ DDoS, che giấu danh tính tội phạm mạng hoặc hỗ trợ các chiến dịch tấn công khác.
Vụ triệt phá lần này cũng làm dấy lên nhiều cuộc thảo luận trên các diễn đàn công nghệ. Nhiều chuyên gia cho rằng người dùng thường chỉ tập trung bảo vệ máy tính và điện thoại, trong khi các thiết bị IoT như camera giám sát, router WiFi, TV thông minh hay thiết bị nhà thông minh lại thường bị bỏ quên, trở thành mắt xích yếu trong hệ thống bảo mật.
Khuyến cáo bảo mật
Các chuyên gia khuyến nghị người dùng:
• Thường xuyên cập nhật hệ điều hành và bản vá bảo mật cho thiết bị
• Thay đổi mật khẩu mặc định trên router, camera và các thiết bị IoT
• Sử dụng mật khẩu mạnh và khác nhau cho từng tài khoản
• Bật xác thực hai lớp khi dịch vụ hỗ trợ
• Chỉ cài đặt ứng dụng từ các nguồn đáng tin cậy
• Kiểm tra định kỳ các thiết bị kết nối trong mạng gia đình
• Sử dụng chuẩn bảo mật WiFi WPA2 hoặc WPA3
• Theo dõi dấu hiệu bất thường như thiết bị chậm bất thường hoặc tiêu thụ lưu lượng mạng lớn
• Thường xuyên cập nhật hệ điều hành và bản vá bảo mật cho thiết bị
• Thay đổi mật khẩu mặc định trên router, camera và các thiết bị IoT
• Sử dụng mật khẩu mạnh và khác nhau cho từng tài khoản
• Bật xác thực hai lớp khi dịch vụ hỗ trợ
• Chỉ cài đặt ứng dụng từ các nguồn đáng tin cậy
• Kiểm tra định kỳ các thiết bị kết nối trong mạng gia đình
• Sử dụng chuẩn bảo mật WiFi WPA2 hoặc WPA3
• Theo dõi dấu hiệu bất thường như thiết bị chậm bất thường hoặc tiêu thụ lưu lượng mạng lớn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
