Botnet Mirai lại tấn công: gần 1 triệu router tại Đức không thể kết nối Internet

Mới đây, gần một triệu khách hàng của một nhà mạng tại Đức không thể sử dụng Internet sau một cuộc tấn công mạng. Cuộc tấn công được phát hiện lần đầu vào 17h ngày Chủ nhật 27 tháng 11 giờ địa phương và tiếp diễn cho tới thứ Hai.

Cụ thể, cuộc tấn công quy mô lớn này đã ảnh hưởng tới trên 900.000 router của hãng Deutsche Telekom, theo thông báo chính thức từ nhà mạng này. Deutsche Telekom cũng bổ sung rằng, một bộ phận router không thể kết nối internet trong khi phần còn lại bị gián đoạn kết nối. Một phát ngôn viên của công ty này cho biết: “Chúng tôi tin rằng sự lây nhiễm trên các router này xuất phát từ bên ngoài.”

Trong thông cáo chính thức, Deutsche Telekom cho biết chỉ có một bộ phận vài mẫu router nhất định bị lây nhiễm trong đợt tấn công này. Cụ thể, những kẻ tấn công đã cài đặt thêm phần mềm vào các thiết bị nhằm ngăn chúng kết nối tới mạng cung cấp bởi công ty này. Deutsche Telekom không cung cấp thêm chi tiết gì về tên của các loại router bị lây nhiễm cũng như thông tin về malware đã tấn công họ.

Nhiều người dùng bắt đẩu gửi những báo cáo đầu tiên lên vào hôm Chủ nhật, chủ yếu là về vấn đề mất kết nối. Dù sau đó vài giờ sự việc có vẻ như đã lắng xuống, thế nhưng những vấn đề lại tiếp tục bùng phát vào sáng ngày hôm sau - ngày thứ Hai. Ngay cả sau khi nhà mạng tạm trấn áp được tình hình, vẫn có những khách hàng tiếp tục phàn nàn về những lỗi kết nối trên toàn nước Đức.

Deutsche Telekom là nhà cung cấp dịch vụ mạng viễn thông lớn nhất nước Đức. Những router của hãng không chỉ cung cấp kết nối internet, mà thường bao gồm cả dịch vụ điện thoại cố định cũng như các dịch vụ truyền hình. Có vẻ như tất cả các dịch vụ này đều bị ảnh hưởng bởi cuộc tấn công. Trong thông cáo báo chí, tập đoàn viễn thông này khẳng định sự cố này xảy ra do có kẻ tấn công. Họ cũng cho biết đang làm việc với các nhà sản xuất thiết bị để khắc phục sự cố và hiện đã đưa ra một bản vá phần mềm bảo mật.

Mới tháng trước, chúng ta đã chứng kiến một lượng lớn người sử dụng không thể sử dụng internet - hậu quả của một trong những cuộc tấn công mạng lớn nhất trong lịch sử. Đầu tiên là cuộc tấn công nhắm vào Dyn sử dụng malware Mirai để chiếm quyền sử dụng các thiết bị IoT qua đó thực hiện tấn công DDoS, tiếp đó là vụ việc xảy ra tại Liberia khiến nước này mất Internet theo cách hoàn toàn tương tự. Những kẻ thực hiện các cuộc tấn công này chắc chắn có mục đích gì đó mà chúng ta chưa biết được, có thể là thử nghiệm “vũ khí” của chúng.

Các router Speedport có lỗ hổng bảo mật nghiêm trọng

Vụ tấn công vừa xảy ra ở Đức là vụ việc tiếp theo trong chuỗi các cuộc tấn công này. Nhiều nhà thống kê bảo mật độc lập đã cho rằng những kẻ tấn công lại sử dụng malware Mirai. Cụ thể, các nhà nghiên cứu gợi ý về khả năng tin tặc đã khai thác lỗ hổng bảo mật thông qua cổng 7547 trên các router Speedport - cổng được để mở cho các kết nối ngoài trên hệ router này. Kasspersky Lab cũng khẳng định một phiên bản của Mirai được sử dụng trong cuộc tấn công này, đồng thời cho rằng: “Malware này không có khả năng tự ghi bản thân vào các file hệ thống cố định. Điều đó có nghĩa tình trạng ảnh hưởng sẽ chấm dứt sau một lần reboot.”

Qua chuỗi sự kiện này, chúng ta có thể thấy rằng, có vẻ như người ta vẫn chưa tăng cường bảo mật chặt chẽ cho các thiết bị IoT sơ sài của mình dù cho nhiều sự vụ liên tục xảy ra suốt thời gian qua. Có lẽ đã đến lúc các thiết bị IoT cần có một chuẩn bảo mật chung nào đó giúp ngăn chặn tình trạng này.

Tham khảo Wccftech