Mirai Botnet - Khai thác lỗ hổng zero-day trong các bộ định tuyến trên toàn cầu để thực hiện các vụ tấn công DDoS nguy hiểm
Trong làn sóng số hóa và chuyển đổi công nghiệp có sự giúp sức mạnh mẽ của AI trí tuệ nhân tạo, Việt Nam đang đứng trước một mối đe dọa an ninh mạng chưa từng có từ biến thể mới của botnet Mirai. Với khả năng tấn công tinh vi và sức công phá khủng khiếp, botnet này đang gây ra những lo ngại sâu sắc cho cộng đồng an ninh mạng trong nước và quốc tế.
Thông tin chi tiết
Theo ghi nhận của phía FPT Threat Intelligence, biến thể Mirai mới này đã xây dựng được một mạng lưới 15.000 thiết bị bị chiếm quyền điều khiển, hoạt động liên tục 24/7. Đặc biệt nguy hiểm, botnet này có khả năng khai thác các lỗ hổng zero-day chưa được phát hiện trong router công nghiệp và thiết bị IoT, điều này khiến việc phòng thủ trở nên vô cùng khó khăn.
Theo dịch vụ giám sát lưu lượng do nhà cung cấp dịch vụ đám mây cung cấp, lưu lượng tấn công DDoS cho 1 vụ ước tính vào khoảng 100GB.
Tại Việt Nam, với đặc thù là một thị trường mới nổi trong lĩnh vực công nghiệp và số hóa, tình trạng này càng trở nên nghiêm trọng hơn. Nhiều khu công nghiệp lớn tại Bắc Ninh, Bắc Giang, Hải Phòng, và Đồng Nai đang sử dụng các router công nghiệp có khả năng bị khai thác bởi những lỗ hổng này. Thêm vào đó, làn sóng ứng dụng thiết bị nhà thông minh đang tạo ra một "mảnh đất màu mỡ" cho botnet phát triển.
Các mã độc botnet này tận dụng kết hợp các phương thức khai thác công khai và riêng tư cho hơn 20 lỗ hổng để lây lan đến các thiết bị được kết nối internet, nhắm vào DVR, bộ định tuyến công nghiệp và gia đình, và thiết bị nhà thông minh.
Cụ thể, nó nhắm vào những thiết bị sau:
Bộ định tuyến ASUS (qua các lỗ hổng N-day)
Bộ định tuyến Huawei (qua CVE-2017-17215)
Bộ định tuyến Neterbit (khai thác tùy chỉnh)
Bộ định tuyến LB-Link (qua CVE-2023-26801)
Bộ định tuyến công nghiệp Four-Faith (qua lỗ hổng zero-day hiện được theo dõi là CVE-2024-12856)
Camera PZT (qua CVE-2024-8956 và CVE-2024-8957)
DVR Kguard
DVR Lilin (qua các lỗ hổng thực thi mã từ xa)
DVR thông thường (sử dụng các lỗ hổng như TVT editBlackAndWhiteList RCE)
Thiết bị nhà thông minh Vimar (có thể sử dụng lỗ hổng chưa được công bố)
Các thiết bị 5G/LTE khác nhau (có thể thông qua cấu hình sai hoặc thông tin đăng nhập yếu)
Với khả năng tấn công ngày càng tinh vi và sức công phá khủng khiếp, botnet Mirai mới đang là một thách thức lớn đối với an ninh mạng Việt Nam. Việc chủ động triển khai các giải pháp phòng chống và nâng cao nhận thức về an ninh mạng là yêu cầu cấp thiết đối với mọi tổ chức, doanh nghiệp trong giai đoạn hiện nay. Chỉ có sự phối hợp chặt chẽ giữa các bên liên quan mới có thể giảm thiểu rủi ro và bảo vệ hiệu quả hệ thống mạng trước những mối đe dọa ngày càng phức tạp này.
XU HƯỚNG TẤN CÔNG TẠI VIỆT NAM
Botnet Mirai mới đang thể hiện các xu hướng tấn công đáng lo ngại:
Mục tiêu chính:
Camera an ninh (IP camera).
Router giá rẻ từ các nhà sản xuất phổ biến.
Các thiết bị IoT gia dụng như TV thông minh, DVR, và thiết bị điều khiển nhà thông minh.
Các khu công nghiệp có vốn đầu tư nước ngoài
Hệ thống tài chính - ngân hàng
Cơ sở hạ tầng công nghiệp quan trọng
Mạng lưới IoT trong môi trường dân cư
Lý do:
Tỷ lệ sử dụng thiết bị IoT giá rẻ tại Việt Nam cao, trong đó nhiều thiết bị vẫn sử dụng mật khẩu mặc định hoặc không được cập nhật thường xuyên.
Ý thức bảo mật của người dùng cá nhân và doanh nghiệp nhỏ còn hạn chế.
Các lỗ hổng phổ biến bị khai thác:
CVE-2020-3452: Lỗ hổng trong thiết bị mạng Cisco ASA.
CVE-2021-36260: Lỗ hổng trên các camera Hikvision.
CVE-2022-30525: Lỗ hổng trong các router Zyxel.
Cách thức khai thác: Mirai sử dụng các script tự động để dò quét và khai thác lỗ hổng trên diện rộng, biến các thiết bị bị xâm nhập thành zombie trong botnet.
Phương thức tấn công DDOS:
Tấn công bằng cách gửi lượng lớn gói tin SYN, HTTP hoặc UDP để làm quá tải hệ thống.
Sử dụng thiết bị bị nhiễm tại Việt Nam làm nguồn phát tấn công vào các mục tiêu trong và ngoài nước.
Sự phát triển của AI trong botnet: Một số biến thể mới sử dụng kỹ thuật học máy để phát hiện và khai thác các thiết bị dễ bị tấn công. Dẫn đến các biến thể mới có khả năng tích hợp khai thác lỗ hổng phức tạp hơn, nhắm vào nhiều nền tảng khác nhau.
HẬU QUẢ DẪN ĐẾN
Các cuộc tấn công từ botnet Mirai mới có thể gây ra những hậu quả nghiêm trọng cho nền kinh tế Việt Nam:
Thiệt hại trực tiếp:
Gián đoạn sản xuất tại các nhà máy FDI có thể gây thiệt hại hàng trăm tỷ đồng mỗi ngày
Tê liệt hệ thống ngân hàng và thanh toán điện tử ảnh hưởng đến giao dịch kinh tế
Chi phí khắc phục và phòng chống tấn công tăng cao
Tác động gián tiếp:
Ảnh hưởng đến uy tín và năng lực cạnh tranh của các doanh nghiệp Việt Nam
Giảm niềm tin của nhà đầu tư nước ngoài
Gián đoạn chuỗi cung ứng trong khu vực
Khuyến nghị
Phía FPT Threat Intelligence khuyến nghị các biện pháp bảo vệ khẩn cấp và hiệu quả để đối phó với các biến thể mới của botnet Mirai:
Thường xuyên cập nhật danh sách IOC (Indicators of Compromise) của các biến thể Mirai và bổ sung chúng vào danh sách blacklist trên hệ thống tường lửa (có thể liên hệ với FPT Threat Intelligence để nhận cập nhật định kỳ hàng tháng).
Mirai thường nhắm vào các thiết bị IoT có bảo mật yếu (camera IP, router, DVR, v.v.). Kiểm tra danh sách thiết bị và đảm bảo chúng được cập nhật phần mềm (firmware) mới nhất.
Nếu nhà sản xuất đã phát hành bản vá, cập nhật ngay để khắc phục lỗ hổng.
Ngừng sử dụng thiết bị không còn hỗ trợ: Nếu thiết bị không còn được hỗ trợ, thay thế bằng các thiết bị mới có bảo mật tốt hơn.
Đổi mật khẩu mặc định: Sử dụng mật khẩu mạnh, độc nhất cho tất cả thiết bị IoT.
Tắt các dịch vụ không cần thiết: Vô hiệu hóa Telnet và SSH nếu không sử dụng.
Bảo vệ mạng:
Cấu hình firewall để giới hạn truy cập từ Internet.
Sử dụng mạng riêng ảo (VPN) nếu cần truy cập từ xa.
Phân tách mạng cho thiết bị IoT (tạo VLAN hoặc mạng riêng biệt).
Sử dụng dịch vụ chống DDoS: Đăng ký dịch vụ của các nhà cung cấp như Cloudflare, Akamai, hoặc Arbor Networks để giảm thiểu tác động của tấn công.
Áp dụng giới hạn băng thông cho các thiết bị IoT để giảm thiểu khả năng bị khai thác.
Công cụ quét và làm sạch thiết bị: Sử dụng công cụ Mirai Scanner để phát hiện thiết bị bị lây nhiễm.
IOCs
IP
123.249.103.79 China|Beijing|Beijing City AS55990|HUAWEI 123.249.109.227 China|Beijing|Beijing City AS55990|HUAWEI 123.249.111.22 China|Beijing|Beijing City AS55990|HUAWEI 123.249.116.30 China|Beijing|Beijing City AS55990|HUAWEI 123.249.116.81 China|Beijing|Beijing City AS55990|HUAWEI 123.249.126.147 China|Beijing|Beijing City AS55990|HUAWEI 123.249.64.207 China|Beijing|Beijing City AS55990|HUAWEI 123.249.68.177 China|Beijing|Beijing City AS55990|HUAWEI 123.249.82.162 China|Beijing|Beijing City AS55990|HUAWEI 123.249.82.229 China|Beijing|Beijing City AS55990|HUAWEI 123.249.87.110 China|Beijing|Beijing City AS55990|HUAWEI 123.249.90.104 China|Beijing|Beijing City AS55990|HUAWEI 123.249.90.23 China|Beijing|Beijing City AS55990|HUAWEI 123.249.91.159 China|Beijing|Beijing City AS55990|HUAWEI 123.249.94.157 China|Beijing|Beijing City AS55990|HUAWEI 123.249.99.231 China|Beijing|Beijing City AS55990|HUAWEI 124.71.235.245 China|Beijing|Beijing City AS55990|HUAWEI 176.97.210.250 Germany|Hessen|Frankfurt am Main AS49581|Ferdinand Zink trading as Tube-Hosting 178.211.139.105 Poland|Mazowieckie|Warsaw AS201814|MEVSPACE sp. z o.o. 178.211.139.196 Poland|Mazowieckie|Warsaw AS201814|MEVSPACE sp. z o.o. 178.211.139.241 Poland|Mazowieckie|Warsaw AS201814|MEVSPACE sp. z o.o. 185.16.39.37 Poland|Mazowieckie|Warsaw AS201814|MEVSPACE sp. z o.o. 193.32.162.34 The Netherlands|None|None AS47890|UNMANAGED LTD 193.34.214.123 Poland|Mazowieckie|Warsaw AS201814|MEVSPACE sp. z o.o. 193.42.12.166 Germany|Hessen|Frankfurt am Main AS58212|dataforest GmbH 194.50.16.198 The Netherlands|Noord-Holland|Amsterdam AS49870|Alsycon B.V. 198.98.51.91 United States|New York|Staten Island AS53667|FranTech Solutions 198.98.54.234 United States|New York|Staten Island AS53667|FranTech Solutions 209.141.32.195 United States|Nevada|Las Vegas AS53667|FranTech Solutions 209.141.51.21 United States|Nevada|Las Vegas AS53667|FranTech Solutions 37.114.63.100 Germany|Hessen|Frankfurt am Main AS60461|intercolo GmbH 45.128.232.200 Bulgaria|Sofia|Sofia AS202685|Aggros Operations Ltd. 45.142.122.187 Russia|Moscow|Moscow AS210644|AEZA GROUP Ltd 45.142.182.126 Germany|None|None AS44592|SkyLink Data Center BV 45.145.41.175 United States|Washington|Seattle AS205770|SC ITNS.NET SRL 45.148.10.230 The Netherlands|Noord-Holland|Amsterdam AS48090|PPTECHNOLOGY LIMITED 45.95.147.211 The Netherlands|Noord-Holland|Amsterdam AS49870|Alsycon B.V. 5.181.188.158 Poland|Mazowieckie|Warsaw AS201814|MEVSPACE sp. z o.o. 70.36.99.15 United States|California|Los Angeles AS22439|Perfect International, Inc 77.90.22.10 Germany|Hessen|Frankfurt am Main AS12586|GHOSTnet GmbH 77.90.22.35 Germany|Hessen|Frankfurt am Main AS12586|GHOSTnet GmbH 94.156.10.163 Bulgaria|None|None AS0| 94.156.10.164 Bulgaria|None|None AS0| 95.214.53.211 Poland|Mazowieckie|Warsaw AS201814|MEVSPACE sp. z o.o. 95.214.54.53 Poland|Mazowieckie|Warsaw AS201814|MEVSPACE sp. z o.o.Downloader
101.42.158.190 China|Beijing|Beijing City AS45090|Tencent 101.43.141.112 China|Beijing|Beijing City AS45090|Tencent 107.189.28.60 Luxembourg|Luxembourg|Luxembourg AS53667|FranTech Solutions 108.233.83.51 United States|California|Santa Clara AS7018|AT&T 1.13.102.222 China|Jiangsu|Nanjing City AS45090|Tencent 152.32.237.129 United States|Virginia|Reston AS135377|UCLOUD INFORMATION TECHNOLOGY (HK) LIMITED 193.32.162.34 The Netherlands|None|None AS47890|UNMANAGED LTD 198.98.54.234 United States|New York|Staten Island AS53667|FranTech Solutions 203.23.159.152 Australia|Victoria|Southbank AS9648|Australia On Line Pty Ltd 209.141.32.148 United States|Nevada|Las Vegas AS53667|FranTech Solutions 209.141.35.56 United States|Nevada|Las Vegas AS53667|FranTech Solutions 209.141.51.21 United States|Nevada|Las Vegas AS53667|FranTech Solutions 209.141.55.38 United States|Nevada|Las Vegas AS53667|FranTech Solutions 209.141.57.222 United States|Nevada|Las Vegas AS53667|FranTech Solutions 37.114.63.100 Germany|Hessen|Frankfurt am Main AS60461|intercolo GmbH 45.142.122.187 Russia|Moscow|Moscow AS210644|AEZA GROUP Ltd 65.175.140.164 United States|Massachusetts|Boston AS11776|Breezeline 77.90.22.35 Germany|Hessen|Frankfurt am Main AS12586|GHOSTnet GmbH 95.214.53.211 Poland|Mazowieckie|Warsaw AS201814|MEVSPACE sp. z o.o. meowware.ddns.netCC
meowware.ddns.netSample SHA1
3287158c35c93a23b79b1fbb7c0e886725df5faa ba9224828252e0197ea5395dad9bb39072933910 fe72a403f2620161491760423d21e6a0176852c3Tham khảo
New Mirai botnet targets industrial routers with zero-day exploits <https://www.bleepingcomputer.com/news/security/new-mirai-botnet-targets-industrial-routers-with-zero-day-exploits/>
Mirai.TBOT – biến thể nguy hiểm của mã độc Mirai <https://ncsgroup.vn/mirai-tbot-bien-the-nguy-hiem-cua-ma-doc-mirai/>
A Botnet Deliver Through a Four-Faith Industrial Router 0-day Exploit <https://blog.xlab.qia.nxin.com/gayfemboy-en/>
