18.000 thiết bị router Huawei bị hacker chiếm quyền điều khiển trong chỉ 1 ngày

Mất bao lâu để hacker có thể xây dựng nên một mạng botnet? Đừng nghĩ là lâu, vì trường hợp botnet mới nhất xảy ra với 18.000 thiết bị router Huawei của hacker mang biệt danh Anarchy chỉ mất có 24 giờ!

Mạng lưới botnet gồm 18.000 thiết bị router Huawei lần đầu tiên được nhà nghiên cứu đến từ NewSky Security phát hiện, và sau đó các hãng bảo mật khác như Rapid7 và Qihoo 360 Netlab đã nhanh chóng vào cuộc, xác nhận sự tồn tại của mối đe dọa mới.

Các nhóm bảo mật nhận ra bỗng dưng hành vi quét các thiết bị Huawei tăng vọt. Sự gia tăng này là do hacker tiến hành quét để tìm kiếm các thiết bị dễ bị tổn thương trước lỗi CVE-2017-17215, một lỗ hổng bảo mật quan trọng có thể được khai thác thông qua cổng 37215.

Hành vi quét để tìm các bộ định tuyến dễ bị tổn thương này bắt đầu vào ngày 18/7.

Nếu một bộ định tuyến Huawei bị khai thác theo cách này, kẻ tấn công có thể gửi các gói dữ liệu độc hại, khởi động các cuộc tấn công vào thiết bị và thực thi mã từ xa – từ đó hacker có thể điều khiển và thêm các thiết bị này vào mạng botnet.

Botnet là việc tạo ra các mạng khổng lồ đầy đủ các thiết bị phụ thuộc (slave), có thể bao gồm các máy tính, bộ định tuyến, điện thoại thông minh và gần đây là các thiết bị Internet of Things (IoT) từ đèn thông minh đến tủ lạnh.

Chẳng hạn, LizardStresser botnet, một hệ thống từ chối dịch vụ (DDoS), có thể khởi động các cuộc tấn công nhờ vào các thiết bị IoT hớ hênh. Sau khi mã nguồn được công bố vào năm 2015, các biến thể botnet LizardStresser đã được phát hiện nhắm vào các sản phẩm IoT với danh sách thông tin người dùng được mã hóa cứng.

Trở lại với trường hợp botnet thiết bị Huawei mới đây, một hacker tự xưng là "Anarchy" đã tuyên bố gây ra vụ việc. Các cyberattacker tuyên bố sử dụng lỗ hổng CVE-2017-17215 cũ để thỏa hiệp ít nhất 18.000 router Huawei. Tin tặc đã tiết lộ danh sách IP nạn nhân cho nhà nghiên cứu bảo mật.

Các bộ định tuyến Huawei bị khai thác bởi một lỗ hổng đã được công bố hồi tháng Giêng năm nay. Mã này được sử dụng trong các botnet Satori và Brickerbot, cũng như một chuỗi các biến thể dựa trên botnet Mirai khét tiếng.

Năm 2016, botnet Mirai đã được dùng để phá vỡ các dịch vụ Internet trên khắp nước Mỹ với quy mô lớn chưa từng có.

Trong khi chưa rõ động cơ, hacker đã nói rằng họ muốn tạo ra "botnet tồi tệ nhất thành phố". Điều này gợi ý cho chúng ta về một kịch bản LizardStresser khác trong tương lai, trong đó một botnet sẽ được sử dụng trong các cuộc tấn công được nhắm mục tiêu - hoặc thậm chí là tạo nên botnet để kẻ xấu thuê lại và thực hiện mục tiêu tấn công.

"Thật sự cảnh báo khi những kẻ tấn công có thể xây dựng đội quân bot lớn và ủ sẵn những âm mưu", nhà nghiên cứu bảo mật Ankit Anubhav của hãng NewsSky Security cho biết thêm. Anubhav nghi ngờ rằng hacker biệt danh Anarchy có thể cũng chính là hacker Wicked, người có mối liên kết với các botnet Owari / Sora.

Theo trang Zdnet, câu chuyện vẫn chưa kết thúc. Anarchy/Wicked nói với các nhà nghiên cứu rằng họ cũng có ý định bắt đầu quét lỗ hổng router Realtek CVE-2014-8361, để điều khiển nhiều thiết bị hơn.

Hoàng Lan