Nhóm nghiên cứu tại Intezer Labs và chuyên gia bảo mật MalwareMustDie vừa phát hiện mã độc Kaiji, một biến thể mới của phần mềm độc hại (malware). Mã độc Kaiji được tạo ra nhằm xâm nhập vào các thiết bị IoT chạy nền tảng Linux, sau đó lạm dụng hệ thống để thực hiện những cuộc tấn công từ chối dịch vụ phân tán (DDoS) từ mạng lưới các thiết bị nhiễm mã độc.
Theo báo cáo từ Intezer Labs, mã độc Kaiji mới này có nguồn gốc từ Trung Quốc và nhắm mục tiêu tài khoản có quyền root.
Mã độc mới được phát hiện này rất khác với các loại phần mềm độc hại IoT khác, chủ yếu là do nó được viết bằng ngôn ngữ lập trình Go, thay vì C hoặc C ++, hai ngôn ngữ mà phần lớn mã độc IoT được tạo ra ngày nay. Mã độc dạng này rất hiếm, không phải vì nó không hiệu quả, mà vì đã có rất nhiều dự án C hoặc C ++ có sẵn miễn phí trên các diễn đàn GitHub và Hacking giúp tạo ra một botnet IoT hoạt động theo cách hoàn toàn đơn giản.
Ngày nay, rất ít người dành thời gian mã hóa botnet từ đầu. Phần lớn các botnet IoT hiện nay được ghép giữa các thành phần và module khác nhau, lấy từ nhiều chủng và kết hợp thành các biến thể mới trên nền tảng mã bonet cũ. Theo Paul Litvak từ Intezer, hệ sinh thái botnet trên hạ tầng Internet vạn vật (IoT) cũng được các chuyên gia bảo mật ghi lại tương đối. Rất ít khi chúng ta thấy các mã độc được viết lại từ đầu như Kaiji.
Mã độc Kaiji lây lan qua hình thức tấn công brute-force
Theo các chuyên gia bảo mật, mã độc Kaiji đã xuất hiện và từng bước lây lan trên toàn cầu. Paul Litvak, nhà nghiên cứu tại Intezer cho biết hiện tại botnet chưa thể tấn công vào máy chủ và các thiết bị IoT, kể cả khi hệ thống chứa lỗ hổng chưa vá. Thay vào đó, botnet Kaiji chỉ nhắm vào các tài khoản root, thực hiện các cuộc tấn công brute-force (thử mọi cách kết hợp mật mã để bẻ khóa thiết bị) trên các thiết bị IoT và máy chủ Linux bị lộ cổng SSH trên mạng Internet.
Chỉ những tài khoản root bị nhắm mục tiêu vì botnet cần quyền root vào các thiết bị bị nhiễm, từ đó thao túng các gói tin mạng thô (raw network packet) để thực hiện các cuộc tấn công DDoS. Sau khi có quyền truy cập vào tài khoản root của thiết bị, mã độc Kaiji có thể ảnh hưởng đến các thiết bị theo 3 cách khác nhau:
- Thực hiện các cuộc tấn công DDoS,
- Thực hiện thêm các tấn công brute-force trên các thiết bị lộ cổng SSH
- Đánh cắp tất cả khóa SSH cục bộ, sau đó lây nhiễm trên những thiết bị mà tài khoản root đó từng quản lý.
Kaiji vẫn đang được phát triển
Theo Litvak, loại botnet này có khả năng thực hiện 6 hình thức tấn công DDoS khác nhau và vẫn đang trong quá trình hoàn thiện. Chuyên gia bảo mật giải thích mã của botnet này thiếu một số tính năng khi so sánh với những bonet khác đang phổ biến khác. Cụ thể, dòng mã độc này vẫn chứa chuỗi "demo" ở một số vị trí, mô-đun rootkit tự gọi quá nhiều lần, làm bộ nhớ bị quá tải khiến thiết bị gặp sự cố. Mặt khác, máy chủ chỉ huy và điều khiển (C&C server) Kaiji cũng thường bị ngoại tuyến khiến thiết bị bị nhiễm bị mất kiểm soát, dễ bị thao túng bởi những botnet khác.
Nhưng trong khi botnet này không phải là một mối đe dọa ngay bây giờ, điều đó không có nghĩa là nó sẽ không gây nguy hại trong tương lai. Cả 2 nhóm nghiên cứu của MalwareMustDie và Litvak hiện đang theo dõi sự phát triển của nó. Hai đội ngũ nghiên cứu cũng đồng ý về việc botnet dường như là thành quả của một nhà phát triển Trung Quốc, vì nhiều hàm chức năng trong mã, chỉ là phiên âm pinyin của các thuật ngữ Trung Quốc trong khi được viết bằng tiếng Anh.
Kaiji đang là botnet IoT mới nhất trên nền tảng mã độc IoT nhưng đã phát triển theo chiều hướng khá thú vị trong suốt vài tháng gần đây. Trước đây các botnet có khả năng lây nhiễm từ 100.000 hoặc 500.000 thiết bị nhưng hiện tại đa số botnet IoT hiếm khi xâm nhập quá 20.000 thiết bị.
Mặt khác, do sự phổ biến của các bộ botnet nguồn mở, hiện có hàng trăm botnet hoạt động mỗi ngày, toàn bộ đều lây nhiễm và kiểm soát cùng một lượng thiết bị IoT nhất định. Vì vậy, thị trường botnet IoT hiện đang bị phân mảnh, chia thành nhiều nhóm nhỏ thay vì nguyên cụm lớn như trước.
Theo báo cáo từ phòng nghiên cứu Black Lotus của CenturyLink, một trong những botnet lớn nhất hiện nay là botnet Mozi, đã lây nhiễm thành công hơn 16.000 thiết bị trong vòng bốn tháng qua. Một số botnet đáng chú ý khác gần đây bao gồm chủng phần mềm độc hại Hoaxcalls, Mukashi và dark_nexus.
Kết luận
Rất hiếm khi thấy một botnet được viết từ đầu, vì lí do các công cụ để hỗ trợ tạo ra mã độc cho những kẻ tấn công hầu như là có sẵn trong các diễn đàn chợ đen và các dự án nguồn mở khác nhau. Nghiên cứu này đã phát hiện ra một hoạt động DDoS mới xuất phát từ một loại mã độc IoT được viết từ đầu trong giai đoạn đầu phát triển của nó. Đây là một minh chứng rằng các nhà phát triển mã độc đang chuyển sang các ngôn ngữ hiện đại như Golang để thực hiện mục tiêu của mình.
Nguồn tham khảo: Intezer Labs & Znet