Theo một số nhà nghiên cứu, phần mềm này được phát triển bởi người Trung Quốc với mục tiêu duy nhất là thực hiện các cuộc tấn công DDoS.

Một số nhà nghiên cứu bảo mật đã tiết lộ rằng, họ phát hiện dấu vết của một phần mềm độc được xây dựng với mục tiêu là tấn công vào các máy chủ Linux và các thiết bị IoT. Sau đó, sử dụng các hệ thống này để thực hiện tấn công DDoS.

Phần mềm này có tên gọi là Kaiji, mới được phát hiện bởi một nhà nghiên cứu bảo mật với mã danh MalwareMustDie cùng đội ngũ tại Intezer Labs.

Phần mềm độc Kaiji khác biệt với các phần mềm tấn công trên IoT khác ở chỗ: Thay vì sử dụng hai ngôn ngữ lập trình phổ biến là C và C++ thì nó lại sử dụng Go.

Go thường ít xuất hiện ở phần mềm độc, nhưng nguyên nhân không nằm ở tính hiệu quả mà bởi vì đã có quá nhiều công trình sử dụng C hoặc C++ trên GitHub và các diễn đàn hack, khiến việc tạo lập botnet từ các ngôn ngữ này trở nên vô cùng dễ dàng. Do đó, có rất ít phần mềm độc IoT được code từ đầu, mà thay vào đó chúng thường được xây dựng bằng cách ghép nhiều thành phần và module khác lại với nhau. Điều này dẫn tới các phần mềm độc mới thường dùng nền tảng code.

Hệ sinh thái botnet Internet vạn vật (IoT) thường được các chuyên gia bảo mật hiểu rất rõ,” Paul Litvak – Một nhà phân tích phần mềm độc tại Intezer, cũng là người đã phân tích code của Kaiji chia sẻ. Việc botnet được code từ đầu rất ít khi xảy ra,” ông viết.

Kaiji được lan truyền thông qua tấn công brute-force SSH

Theo Litvak và MalwareMustDie, Kaiji đã xuất hiện ở nhiều quốc gia trên khắp thế giới với số lượng nạn nhân ngày càng tăng. Litvak cũng khẳng định rằng, hiện tại, botnet này chưa thể tấn công vào các thiết bị unpatched. Thay vào đó, nó sử dụng tấn công brute-force trên các thiết bị IoT và máy chủ Linux, cụ thể là những mục tiêu đã để lộ cổng SSH trên Internet.

“Chỉ có tài khoản gốc là bị tấn công”, ông nói. Nguyên nhân là do botnet này cần tiếp cận được các thiết bị từ gốc để có thể kiểm soát các network packet nguyên thể, từ đó sử dụng chúng để thực hiện các tác vụ mong muốn hoặc thực hiện tấn công DDoS.

Sau khi thâm nhập thành công vào tài khoản nguồn của thiết bị, Kaiji sẽ sử dụng thiết bị này cho ba việc. Thứ nhất là thực hiện tấn công DDoS. Thứ hai là thực hiện tấn công brute-force SSH lên các thiết bị khác. Và cuối cùng, nó sẽ ăn cắp các SSH key lân cận, sau đó chuyền ra những thiết bị khác mà tài khoản gốc quản lý trong quá khứ.

Faceless man in a hoodie with a hood holds a tablet in his hands on a dark wall. concept of hacking user data. hacked lock, credit card, cloud, email, passwords, personal files Premium Photo

Kaiji vẫn đang trong quá trình phát triển

Theo Litvak, botnet này tuy có khả năng thực hiện 6 kiểu tấn công DDoS khác nhau, song  đây vẫn là một công trình chưa hoàn thiện.

Cụ thể, code của botnet này còn thiếu tính năng so với các botnet phổ biến khác, vẫn chứa string “demo” và đôi lúc quá nhiều mô-đun rookit, gây ra quá tải bộ nhớ thiết bị, làm sập thiết bị đó. Ngoài ra, máy chủ hiệu lệnh và điều khiển Kaiji cũng thường xuyên ngoại tuyến, khiến cho các thiết bị tấn công mất máy chủ, khiến các thiết bị này có nguy cơ bị kiểm soát bởi các botnet khác.

Hiện tại, botnet này vẫn chưa thực sự nguy hiểm, tuy nhiên, nó vẫn có thể trở nên đáng sợ hơn trong tương lai. Chính vì vậy, MalwareMustDie và Litvak đều đang theo dõi tiến trình phát triển của nó. Họ cũng đồng tình rằng, botnet này khả năng cao được viết bởi người Trung Quốc, do trong code của nó có chứa rất nhiều thuật ngữ Trung Quốc được phiên âm sang Tiếng Anh.

Phân đoạn botnet

Tính tới nay, Kaiji là botnet IoT mới nhất với những phát triển tương đối thú vị trong vài tháng qua.

Trước đây, các botnet từng có thể xâm nhập từ 100.000 tới 500,000 thiết bị. Trong khi đó ở hiện tại, đa số các botnet IoT kể cả các botnet thành công nhất cũng chỉ có thể xâm nhập được từ 15.000 tới 20.000 thiết bị.

Ngoài ra, do có quá nhiều botnet kit nguồn mở trên mạng, hiện nay có tới hàng trăm botnet hoạt động mỗi ngày và tất cả đều đang nhắm vào cùng một số lượng thiết bị IoT. Chính vì thế, thị trường botnot IoT bị phân đoạn, chia rẽ thành nhiều số lượng nhỏ hơn thay vì cả cụm lớn như trước đó.

Theo một báo cáo của Black Lotus Labs, trực thuộc CenturyLink, một trong những botnet lớn nhất hiện tại là Mozi đã xâm nhập thành công hơn 16.000 thiết bị trong vòng 4 tháng vừa qua. Một số botnet đang lưu ý mới thường chứa mã Hoaxcalls cho phần mềm độc trên IoT, Mukashi, cũng như Dark_nexus.

Theo ZDNet

Tin liên quan: