Malware Mirai đang ngày một nguy hiểm hơn khi nó có thể tiến hóa

Chỉ trong vài tuần qua, một loạt các cuộc tấn công mạng mạnh mẽ đã xảy ra nhờ sự trợ giúp của Mirai, malware đã tạo ra các mạng botnet rộng lớn từ những thiết bị kết nối Internet. Từ những mạng botnet này, những công ty trụ cột cho việc kết nối Internet như Dyn hay nhà cung cấp dịch vụ OVH của Pháp đã bị đánh gục, gây ra hàng loạt sự cố cho việc kết nối mạng.

Và trong khi mọi người đang cho rằng sức tấn công của Mirai đã mất, những bằng chứng mới cho thấy nó vẫn rất nguy hiểm – thậm chí nó còn đang tiến hóa để nguy hiểm hơn nữa.

Các nhà nghiên cứu về Mirai cho biết, trong khi số lượng các cuộc tấn công hàng ngày có giảm trong thời gian ngắn gần đây, nhưng họ đang thấy sự phát triển của bản thân malware Mirai khi nó dường như được chỉnh sửa để cho phép lây nhiễm tới nhiều thiết bị IoT dễ bị tổn thương hơn nữa. Các nhà nghiên cứu cảnh báo, quá trình này có thể làm gia tăng quân số hiện cho mạng botnet của malware này, cũng như tăng thêm sức mạnh tổng hợp của nó khi tấn công.

“Có ý kiến cho rằng, có lẽ các botnet này đã chết hoặc suy yếu dần theo thời gian, nhưng tôi nghĩ những gì chúng ta đang thấy là Mirai đang tiến hóa.” John Costello, nhà phân tích cao cấp tại hãng trí bảo mật thông minh Flashpoint, cho biết. “Mọi người luôn rất sáng tạo và họ sẽ tìm được những cách mới để lây nhiễm cho các thiết bị đã không bị tổn thương trước đó. Mirai cũng không phải ngoại lệ.”

Malware có thể biến đổi

Các nhà nghiên cứu của Flashpoint cho biết, Mirai dường như đã được cấu trúc như một nền tảng phần mềm có khả năng cập nhật để bổ sung thêm các tính năng mới theo thời gian, thay vì chỉ là một vũ khí tấn công một lần. Vì vậy, các hacker có thể bổ sung thêm chức năng cho nó và sau đó phát tán phiên bản mới đó. Đây là điều chưa từng có với các malware tạo ra mạng botnet, tuy nhiên, nó sẽ đòi hỏi kẻ tấn công phải có nhiều nguồn lực và trình độ để thực hiện điều này.

Kết quả của việc này sẽ là những kẻ điều hành mạng botnet Mirai có thể bổ sung thêm nhiều thiết bị hơn vào mạng lưới của mình, để tạo ra các đợt tấn công DDoS với lượng truy cập khổng lồ mà không phải xây dựng một malware mới từ đầu. Theo Zach Wikholm, nhà nghiên cứu tại Flashpoint, cho rằng, Mirai đã bắt đầu tận dụng lợi thế độc đáo của mình như một “framework” cho malware.

“Malware loại cũ được tạo ra cho một mục đích cụ thể, vì vậy không dễ để mở rộng mục đích của nó. Nhưng Mirai rất khác biệt và chúng tôi đã bắt đầu thấy một sự tiến hóa đang diễn ra. Dường như nó được xây dựng cho một điều gì đó trong dài hạn.”

Flashpoint đã nhận ra các dấu hiệu cho thấy những tin tặc có thể tinh chỉnh lại malware Mirai để nó có thể khai thác cùng loại lỗ hổng trên thiết bị IoT để lây nhiễm cho các sản phẩm khác. Mirai gây tổn thương cho các thiết bị bằng cách lợi dụng một đặc điểm là, một vài nhà sản xuất khi bán các thiết bị IoT thường cài đặt một mật khẩu quản trị mặc định chung cho các sản phẩm đó, vì vậy các hacker có thể dễ dàng xâm nhập được vào.

Nhưng Mirai luôn lập danh sách các yếu tố không phù hợp khi khai thác các thiết bị hiện tại, để bổ sung chúng vào những phiên bản tiếp theo. Hiện tại các nhà nghiên cứu của Flashpoint đang thấy một phiên bản mới của malware Mirai được xây dựng để kết nối tới những thiết bị sử dụng các yếu tố này. Flashpoint cho biết, hiện họ chưa thể phát hiện ra những thiết bị nào có thể bị tổn thương, nhưng rõ ràng mục đích của nó nhằm lây nhiễm thêm các đơn vị sản phẩm mới, bổ sung cho mạng botnet.

Cuối tháng Chín vừa qua, một hacker có tên “Anna-senpai” còn phát hành công khai một phần mã nguồn của Mirai, và tuyên bố mình có thể khai thác đến 380.000 thiết bị IoT cho các cuộc tấn công của Mirai, giảm so với con số 500.000 vào thời điểm ban đầu. Tuy nhiên, sau cuộc tấn công nhằm vào website của nhà báo độc lập về bảo mật Brian Krebs, con số này lại giảm xuống chỉ còn 300.000 thiết bị.

Bởi theo Anna-Senpai viết trên diễn đàn Hackforums, các nhà cung cấp Internet đã bắt đầu “làm sạch đường truyền mạng của mình”, chặn các truy cập độc hại từ những thiết bị nhiễm malware này. Mã nguồn mở mạng botnet không chỉ làm các cuộc tấn công bằng Mirai trở nên nguy hiểm hơn, mà còn cho phép nhiều nhà vận hành hơn cũng có thể sử dụng nó – theo Flashpoint, hiện tại có khoảng 25 cá nhân và tổ chức riêng biệt có thể sử dụng botnet này.

Khi nhiều tin tặc khác nhau có thể truy cập vào một botnet, nó sẽ tách nhỏ ra, phân chia toàn bộ sức mạnh của mình cho các mục tiêu khác nhau của những người vận hành. Trong trường hợp của Mirai, các nhà nghiên cứu nhận ra rằng, trong khi đang tranh giành để có quyền điều khiển một phần mạng botnet lớn hơn, nhiều kẻ tấn công khác nhau đã khóa chặt các thiết bị nhiễm malware trong phần của riêng mình, để chỉ có họ mới được sử dụng những thiết bị này cho các tấn công.

Cuộc đấu đá nội bộ quanh các thiết bị nhiễm mã độc

Tuần trước, các nhà nghiên cứu tại Flashpoint cho biết rằng, sức mạnh của Mirai có thể sẽ bị suy tàn vĩnh viễn vì cuộc chiến tranh để giành giật nguồn tài nguyên này. Riêng trong ngày bầu cử tại Mỹ, các nhà nghiên cứu nhận thấy số lượng cuộc tấn công của Mirai đã sụt giảm đáng kể và quy mô cũng rất nhỏ.

Cuộc cạnh tranh giữa các phe phái để giành quyền điều khiển nguồn tài nguyên từ mạng botnet Mirai đã đạt tới mức các bên phải sử dụng DDoS để tấn công và triệt hạ lẫn nhau. Theo Wikholm từ Flashpoint cho biết, mô hình đấu đá nội bộ là điều mà các nhà nghiên cứu botnet đã thấy trước đây. “Khi chúng tôi xem lại các nhật ký lưu lượng mạng, chúng tôi có thể thấy bọn họ đang tấn công lẫn nhau. Điều này thật tức cười.”

Nhưng sau cuộc bầu cử, tần suất các cuộc tấn công Mirai đã tăng trở lại, đặc biệt nhắm vào các công ty trò chơi và dịch vụ như các máy chủ của Minecraft. Nếu phần mềm Mirai vẫn đang tiến hóa và tạo ra các phương pháp kết nối mới với những thiết bị dễ tổn thương để phát triển quy mô của mạng botnet, sẽ có thêm nhiều thiết bị nữa bị lây nhiễm. Cuối cùng có lẽ Mirai sẽ lấy lại được sức mạnh trước kia của nó – ít nhất cho đến khi một cuộc chiến phe phái khác làm nó suy yếu lần nữa.

Ngay cả khi những kẻ tấn công hiện tại không thể tạo ra lượng truy cập khổng lồ như trước đây với Mirai, các nhà nghiên cứu tại Flashpoint và nhà cung cấp dịch vụ Internet Level 3 cũng nhận thấy, trung bình các cuộc tấn công khai thác đến hơn 90.000 thiết bị để nhắm vào những mục tiêu như các dịch vụ trò chơi và cơ sở hạ tầng mạng.

“Nó cho thấy, mặc dù không có phe phái nào đang tham chiến lại có đủ sức mạnh để phát động một cuộc tấn công như ta đã thấy với Krebs, OVH hay Dyn, nó vẫn đủ sức gây ra khó khăn với sự tham gia của rất nhiều host.” Costello từ Flashpoint cho biết. “Không chỉ do quy mô của một cuộc tấn công duy nhất, mà còn ở tính bền bỉ, kéo dài và lặp đi lặp lại của cuộc tấn công.”

Hàng chục cuộc tấn công DDoS mỗi ngày

Cho dù các ISP đã nỗ lực để xử lý các truy cập từ botnet Mirai, tốc độ và khả năng của botnet để phát động tấn công vào các phần khác nhau của hạ tầng Internet (ví dụ các máy chủ DNS) đã tạo ra các thách thức nghiêm trọng về khả năng phòng vệ.

“Năm tháng trước, chúng tôi đã thông báo về việc ra đời của các mạng botnet này,” Dale Drew, giám đốc bảo mật của Level 3, cho biết. “Các phân tích về hành vi thực sự giúp chúng tôi có được lợi thế trong việc đưa ra cảnh báo sớm, tuy nhiên, quy mô của mạng botnet này là điều mà chúng ta có thể gặp khó khăn để chống đỡ.” Dale cho biết rằng, Level 3 đã phát hiện ra khoảng 31 cuộc tấn công Mirai mỗi ngày, và chưa có ngày nào ít hơn kể từ khi nó xuất hiện lần đầu tiên cho đến nay.

Tuy nhiên, không phải mọi điều đều đáng bi quan, ở mặt tích cực hơn, các ISP và các công ty cung cấp hạ tầng mạng Internet đã bắt đầu xem xét việc đầu tư như thế nào để cải thiện khả năng phòng vệ của họ. Các nhà nghiên cứu cho rằng, việc tăng cường hợp tác giữa các ngành công nghiệp và nâng cao khả năng bảo mật của IoT sẽ là kết quả tích cực cho cuộc chiến với Mirai.

“Các botnet như Mirai đang giúp tất cả các bên của cuộc chạy đua này xác định rõ ràng những rủi ro trước mắt trong lĩnh vực thiết bị nhúng.” Ang Cui, CEO và là người sáng lập của công ty bảo mật IoT Red Ballon, cho biết. “Hiện giờ đây là vấn đề đau đầu với chúng tôi, nhưng việc số lượng các thiết bị dễ tổn thương sẽ ngày một giảm đi là điều không thể tránh khỏi, cho dù với Mirai hay botnet nào đó khác.”

Mirai có thể không phải malware đầu tiên hay cuối cùng, nhưng khả năng mở rộng của nó trên thiết bị IoT là những gì cộng đồng bảo mật có thể dự đoán trước. Quả thật, thiết kế của nó rất thông minh. Nhà nghiên cứu Costello của Flashpoint còn cho rằng nó rất “hiếm có” trong khả năng lây nhiễm và thu thập thêm các thiết bị dễ tổn thương mới vào đội quân zombie của mình.

“Mọi người đã nhận thấy có điều gì đó đang diễn ra, nhưng không ai hiểu đầy đủ quy mô của nó.” Costello cho biết. “Đây thực sự là điều làm thức tỉnh rất nhiều người.”

Theo Wired