Mã độc KadNap biến 14.000 router thành botnet 'siêu bền bỉ', khó bị đánh sập
Các nhà nghiên cứu vừa phát hiện một mạng botnet gồm 14.000 router, chủ yếu của Asus, bị nhiễm mã độc KadNap. Mã độc này sử dụng cấu trúc mạng ngang hàng tinh vi để tạo ra một mạng lưới proxy ẩn danh cho tội phạm mạng, khiến nó có khả năng chống lại các biện pháp đánh sập truyền thống.
Các nhà nghiên cứu an ninh mạng cho biết họ vừa phát hiện một mạng botnet có khả năng chống đánh sập cao, bao gồm 14.000 router và thiết bị mạng khác—chủ yếu do Asus sản xuất. Các thiết bị này đã bị chiếm quyền điều khiển để tạo thành một mạng lưới proxy ẩn danh, chuyên phục vụ cho các hoạt động của tội phạm mạng.
Theo ông Chris Formosa, một nhà nghiên cứu tại Black Lotus Labs thuộc công ty bảo mật Lumen, mã độc này—với tên gọi KadNap—lây nhiễm bằng cách khai thác các lỗ hổng bảo mật chưa được chủ sở hữu vá lỗi. Việc các router của Asus chiếm tỷ lệ cao có thể là do tin tặc đã sở hữu một phương thức khai thác đáng tin cậy cho các lỗ hổng trên những dòng sản phẩm này. Ông cũng cho biết, không có khả năng tin tặc đang sử dụng bất kỳ lỗ hổng zero-day nào trong chiến dịch này.
Một botnet nổi bật với khả năng chống đánh sập
Số lượng router bị nhiễm trung bình khoảng 14.000 mỗi ngày, tăng từ con số 10.000 vào tháng 8 năm ngoái, thời điểm Black Lotus phát hiện ra mạng botnet này. Các thiết bị bị xâm nhập chủ yếu ở Mỹ, cùng một số lượng nhỏ hơn ở Đài Loan, Hồng Kông và Nga. Một trong những đặc điểm nổi bật nhất của KadNap là thiết kế mạng ngang hàng (peer-to-peer) tinh vi dựa trên Kademlia, một cấu trúc mạng sử dụng bảng băm phân tán (distributed hash tables - DHT) để che giấu địa chỉ IP của các máy chủ điều khiển và chỉ huy (command-and-control). Thiết kế này giúp mạng botnet có khả năng chống lại việc bị phát hiện và đánh sập bằng các phương pháp truyền thống.
"Mạng botnet KadNap nổi bật hơn các mạng botnet khác hỗ trợ proxy ẩn danh ở việc sử dụng mạng ngang hàng để điều khiển phi tập trung," ông Formosa và đồng nghiệp Steve Rudd tại Black Lotus Labs đã viết hôm thứ Tư. "Ý đồ của chúng rất rõ ràng: tránh bị phát hiện và gây khó khăn cho các chuyên gia bảo mật trong việc phòng chống."
Bảng băm phân tán từ lâu đã được sử dụng để tạo ra các mạng ngang hàng kiên cố, nổi bật nhất là BitTorrent và Hệ thống Tệp tin Liên hành tinh (Inter-Planetary File System). Thay vì có một hoặc nhiều máy chủ trung tâm trực tiếp điều khiển các nút mạng và cung cấp cho chúng địa chỉ IP của các nút khác, DHT cho phép bất kỳ nút nào cũng có thể truy vấn các nút khác để tìm thiết bị hoặc máy chủ mà nó cần. Cấu trúc phi tập trung và việc thay thế địa chỉ IP bằng các giá trị băm (hash) mang lại cho mạng lưới khả năng phục hồi cao trước các nỗ lực đánh sập hoặc tấn công từ chối dịch vụ.
Nguồn: Ars Technica Cloud
