# Mirai Botnet - Khai thác lỗ hổng zero-day trong các bộ định tuyến trên toàn cầu để thực hiện các vụ tấn công DDoS nguy hiểm

Trong làn sóng số hóa và chuyển đổi công nghiệp có sự giúp sức mạnh mẽ của AI trí tuệ nhân tạo, Việt Nam đang đứng trước một mối đe dọa an ninh mạng chưa từng có từ biến thể mới của botnet Mirai. Với khả năng tấn công tinh vi và sức công phá khủng khiếp, botnet này đang gây ra những lo ngại sâu sắc cho cộng đồng an ninh mạng trong nước và quốc tế.

## Thông tin chi tiết

Theo ghi nhận của phía **FPT Threat Intelligence**, biến thể Mirai mới này đã xây dựng được một mạng lưới 15.000 thiết bị bị chiếm quyền điều khiển, hoạt động liên tục 24/7. Đặc biệt nguy hiểm, botnet này có khả năng khai thác các lỗ hổng zero-day chưa được phát hiện trong router công nghiệp và thiết bị IoT, điều này khiến việc phòng thủ trở nên vô cùng khó khăn.

Theo dịch vụ giám sát lưu lượng do nhà cung cấp dịch vụ đám mây cung cấp, lưu lượng tấn công DDoS cho 1 vụ ước tính vào khoảng 100GB.

![](https://cdn.hashnode.com/res/hashnode/image/upload/v1736692689340/9e19cf0c-4e1f-49bf-9bbb-268b01d6ed8f.png align="center")

Tại Việt Nam, với đặc thù là một thị trường mới nổi trong lĩnh vực công nghiệp và số hóa, tình trạng này càng trở nên nghiêm trọng hơn. Nhiều khu công nghiệp lớn tại Bắc Ninh, Bắc Giang, Hải Phòng, và Đồng Nai đang sử dụng các router công nghiệp có khả năng bị khai thác bởi những lỗ hổng này. Thêm vào đó, làn sóng ứng dụng thiết bị nhà thông minh đang tạo ra một "mảnh đất màu mỡ" cho botnet phát triển.

Các mã độc botnet này tận dụng kết hợp các phương thức khai thác công khai và riêng tư cho hơn 20 lỗ hổng để lây lan đến các thiết bị được kết nối internet, nhắm vào DVR, bộ định tuyến công nghiệp và gia đình, và thiết bị nhà thông minh.

Cụ thể, nó nhắm vào những thiết bị sau:

* Bộ định tuyến ASUS (qua các lỗ hổng N-day)
    
* Bộ định tuyến Huawei (qua CVE-2017-17215)
    
* Bộ định tuyến Neterbit (khai thác tùy chỉnh)
    
* Bộ định tuyến LB-Link (qua CVE-2023-26801)
    
* Bộ định tuyến công nghiệp Four-Faith (qua lỗ hổng zero-day hiện được theo dõi là CVE-2024-12856)
    
* Camera PZT (qua CVE-2024-8956 và CVE-2024-8957)
    
* DVR Kguard
    
* DVR Lilin (qua các lỗ hổng thực thi mã từ xa)
    
* DVR thông thường (sử dụng các lỗ hổng như TVT editBlackAndWhiteList RCE)
    
* Thiết bị nhà thông minh Vimar (có thể sử dụng lỗ hổng chưa được công bố)
    
* Các thiết bị 5G/LTE khác nhau (có thể thông qua cấu hình sai hoặc thông tin đăng nhập yếu)
    

Với khả năng tấn công ngày càng tinh vi và sức công phá khủng khiếp, botnet Mirai mới đang là một thách thức lớn đối với an ninh mạng Việt Nam. Việc chủ động triển khai các giải pháp phòng chống và nâng cao nhận thức về an ninh mạng là yêu cầu cấp thiết đối với mọi tổ chức, doanh nghiệp trong giai đoạn hiện nay. Chỉ có sự phối hợp chặt chẽ giữa các bên liên quan mới có thể giảm thiểu rủi ro và bảo vệ hiệu quả hệ thống mạng trước những mối đe dọa ngày càng phức tạp này.

**XU HƯỚNG TẤN CÔNG TẠI VIỆT NAM**

Botnet Mirai mới đang thể hiện các xu hướng tấn công đáng lo ngại:

* **Mục tiêu chính:**
    
    * Camera an ninh (IP camera).
        
    * Router giá rẻ từ các nhà sản xuất phổ biến.
        
    * Các thiết bị IoT gia dụng như TV thông minh, DVR, và thiết bị điều khiển nhà thông minh.
        
    * Các khu công nghiệp có vốn đầu tư nước ngoài
        
    * Hệ thống tài chính - ngân hàng
        
    * Cơ sở hạ tầng công nghiệp quan trọng
        
    * Mạng lưới IoT trong môi trường dân cư
        
* **Lý do:**
    
    * Tỷ lệ sử dụng thiết bị IoT giá rẻ tại Việt Nam cao, trong đó nhiều thiết bị vẫn sử dụng mật khẩu mặc định hoặc không được cập nhật thường xuyên.
        
    * Ý thức bảo mật của người dùng cá nhân và doanh nghiệp nhỏ còn hạn chế.
        
* **Các lỗ hổng phổ biến bị khai thác:**
    
    * **CVE-2020-3452:** Lỗ hổng trong thiết bị mạng Cisco ASA.
        
    * **CVE-2021-36260:** Lỗ hổng trên các camera Hikvision.
        
    * **CVE-2022-30525:** Lỗ hổng trong các router Zyxel.
        
* **Cách thức khai thác:** Mirai sử dụng các script tự động để dò quét và khai thác lỗ hổng trên diện rộng, biến các thiết bị bị xâm nhập thành zombie trong botnet.
    
* **Phương thức tấn công DDOS:**
    
    * Tấn công bằng cách gửi lượng lớn gói tin SYN, HTTP hoặc UDP để làm quá tải hệ thống.
        
    * Sử dụng thiết bị bị nhiễm tại Việt Nam làm nguồn phát tấn công vào các mục tiêu trong và ngoài nước.
        
* **Sự phát triển của AI trong botnet:** Một số biến thể mới sử dụng kỹ thuật học máy để phát hiện và khai thác các thiết bị dễ bị tấn công. Dẫn đến các biến thể mới có khả năng tích hợp khai thác lỗ hổng phức tạp hơn, nhắm vào nhiều nền tảng khác nhau.
    

**HẬU QUẢ DẪN ĐẾN**

Các cuộc tấn công từ botnet Mirai mới có thể gây ra những hậu quả nghiêm trọng cho nền kinh tế Việt Nam:

Thiệt hại trực tiếp:

* Gián đoạn sản xuất tại các nhà máy FDI có thể gây thiệt hại hàng trăm tỷ đồng mỗi ngày
    
* Tê liệt hệ thống ngân hàng và thanh toán điện tử ảnh hưởng đến giao dịch kinh tế
    
* Chi phí khắc phục và phòng chống tấn công tăng cao
    

Tác động gián tiếp:

* Ảnh hưởng đến uy tín và năng lực cạnh tranh của các doanh nghiệp Việt Nam
    
* Giảm niềm tin của nhà đầu tư nước ngoài
    
* Gián đoạn chuỗi cung ứng trong khu vực
    

## Khuyến nghị

Phía **FPT Threat Intelligence** khuyến nghị các biện pháp bảo vệ khẩn cấp và hiệu quả để đối phó với các biến thể mới của botnet Mirai:

* Thường xuyên cập nhật danh sách IOC (Indicators of Compromise) của các biến thể Mirai và bổ sung chúng vào danh sách blacklist trên hệ thống tường lửa (*có thể liên hệ với* ***FPT Threat Intelligence*** *để nhận cập nhật định kỳ hàng tháng).*
    
* Mirai thường nhắm vào các thiết bị IoT có bảo mật yếu (camera IP, router, DVR, v.v.). Kiểm tra danh sách thiết bị và đảm bảo chúng được cập nhật phần mềm (firmware) mới nhất.
    
* Nếu nhà sản xuất đã phát hành bản vá, cập nhật ngay để khắc phục lỗ hổng.
    
* **Ngừng sử dụng thiết bị không còn hỗ trợ:** Nếu thiết bị không còn được hỗ trợ, thay thế bằng các thiết bị mới có bảo mật tốt hơn.
    
* **Đổi mật khẩu mặc định:** Sử dụng mật khẩu mạnh, độc nhất cho tất cả thiết bị IoT.
    
* **Tắt các dịch vụ không cần thiết:** Vô hiệu hóa Telnet và SSH nếu không sử dụng.
    
* **Bảo vệ mạng:**
    
    * Cấu hình firewall để giới hạn truy cập từ Internet.
        
    * Sử dụng mạng riêng ảo (VPN) nếu cần truy cập từ xa.
        
    * Phân tách mạng cho thiết bị IoT (tạo VLAN hoặc mạng riêng biệt).
        
* **Sử dụng dịch vụ chống DDoS:** Đăng ký dịch vụ của các nhà cung cấp như Cloudflare, Akamai, hoặc Arbor Networks để giảm thiểu tác động của tấn công.
    
* Áp dụng giới hạn băng thông cho các thiết bị IoT để giảm thiểu khả năng bị khai thác.
    
* **Công cụ quét và làm sạch thiết bị:** Sử dụng công cụ Mirai Scanner để phát hiện thiết bị bị lây nhiễm.
    
    ---
    
    ## IOCs
    
    ## **IP**
    
    ```plaintext
    123.249.103.79	China|Beijing|Beijing City	AS55990|HUAWEI
    123.249.109.227	China|Beijing|Beijing City	AS55990|HUAWEI
    123.249.111.22	China|Beijing|Beijing City	AS55990|HUAWEI
    123.249.116.30	China|Beijing|Beijing City	AS55990|HUAWEI
    123.249.116.81	China|Beijing|Beijing City	AS55990|HUAWEI
    123.249.126.147	China|Beijing|Beijing City	AS55990|HUAWEI
    123.249.64.207	China|Beijing|Beijing City	AS55990|HUAWEI
    123.249.68.177	China|Beijing|Beijing City	AS55990|HUAWEI
    123.249.82.162	China|Beijing|Beijing City	AS55990|HUAWEI
    123.249.82.229	China|Beijing|Beijing City	AS55990|HUAWEI
    123.249.87.110	China|Beijing|Beijing City	AS55990|HUAWEI
    123.249.90.104	China|Beijing|Beijing City	AS55990|HUAWEI
    123.249.90.23	China|Beijing|Beijing City	AS55990|HUAWEI
    123.249.91.159	China|Beijing|Beijing City	AS55990|HUAWEI
    123.249.94.157	China|Beijing|Beijing City	AS55990|HUAWEI
    123.249.99.231	China|Beijing|Beijing City	AS55990|HUAWEI
    124.71.235.245	China|Beijing|Beijing City	AS55990|HUAWEI
    176.97.210.250	Germany|Hessen|Frankfurt am Main	AS49581|Ferdinand Zink trading as Tube-Hosting
    178.211.139.105	Poland|Mazowieckie|Warsaw	AS201814|MEVSPACE sp. z o.o.
    178.211.139.196	Poland|Mazowieckie|Warsaw	AS201814|MEVSPACE sp. z o.o.
    178.211.139.241	Poland|Mazowieckie|Warsaw	AS201814|MEVSPACE sp. z o.o.
    185.16.39.37	Poland|Mazowieckie|Warsaw	AS201814|MEVSPACE sp. z o.o.
    193.32.162.34	The Netherlands|None|None	AS47890|UNMANAGED LTD
    193.34.214.123	Poland|Mazowieckie|Warsaw	AS201814|MEVSPACE sp. z o.o.
    193.42.12.166	Germany|Hessen|Frankfurt am Main	AS58212|dataforest GmbH
    194.50.16.198	The Netherlands|Noord-Holland|Amsterdam	AS49870|Alsycon B.V.
    198.98.51.91	United States|New York|Staten Island	AS53667|FranTech Solutions
    198.98.54.234	United States|New York|Staten Island	AS53667|FranTech Solutions
    209.141.32.195	United States|Nevada|Las Vegas	AS53667|FranTech Solutions
    209.141.51.21	United States|Nevada|Las Vegas	AS53667|FranTech Solutions
    37.114.63.100	Germany|Hessen|Frankfurt am Main	AS60461|intercolo GmbH
    45.128.232.200	Bulgaria|Sofia|Sofia	AS202685|Aggros Operations Ltd.
    45.142.122.187	Russia|Moscow|Moscow	AS210644|AEZA GROUP Ltd
    45.142.182.126	Germany|None|None	AS44592|SkyLink Data Center BV
    45.145.41.175	United States|Washington|Seattle	AS205770|SC ITNS.NET SRL
    45.148.10.230	The Netherlands|Noord-Holland|Amsterdam	AS48090|PPTECHNOLOGY LIMITED
    45.95.147.211	The Netherlands|Noord-Holland|Amsterdam	AS49870|Alsycon B.V.
    5.181.188.158	Poland|Mazowieckie|Warsaw	AS201814|MEVSPACE sp. z o.o.
    70.36.99.15	United States|California|Los Angeles	AS22439|Perfect International, Inc
    77.90.22.10	Germany|Hessen|Frankfurt am Main	AS12586|GHOSTnet GmbH
    77.90.22.35	Germany|Hessen|Frankfurt am Main	AS12586|GHOSTnet GmbH
    94.156.10.163	Bulgaria|None|None	AS0|
    94.156.10.164	Bulgaria|None|None	AS0|
    95.214.53.211	Poland|Mazowieckie|Warsaw	AS201814|MEVSPACE sp. z o.o.
    95.214.54.53	Poland|Mazowieckie|Warsaw	AS201814|MEVSPACE sp. z o.o.
    ```
    
    ### **Downloader**
    
    ```plaintext
    101.42.158.190	China|Beijing|Beijing City	AS45090|Tencent
    101.43.141.112	China|Beijing|Beijing City	AS45090|Tencent
    107.189.28.60	Luxembourg|Luxembourg|Luxembourg	AS53667|FranTech Solutions
    108.233.83.51	United States|California|Santa Clara	AS7018|AT&T
    1.13.102.222	China|Jiangsu|Nanjing City	AS45090|Tencent
    152.32.237.129	United States|Virginia|Reston	AS135377|UCLOUD INFORMATION TECHNOLOGY (HK) LIMITED
    193.32.162.34	The Netherlands|None|None	AS47890|UNMANAGED LTD
    198.98.54.234	United States|New York|Staten Island	AS53667|FranTech Solutions
    203.23.159.152	Australia|Victoria|Southbank	AS9648|Australia On Line Pty Ltd
    209.141.32.148	United States|Nevada|Las Vegas	AS53667|FranTech Solutions
    209.141.35.56	United States|Nevada|Las Vegas	AS53667|FranTech Solutions
    209.141.51.21	United States|Nevada|Las Vegas	AS53667|FranTech Solutions
    209.141.55.38	United States|Nevada|Las Vegas	AS53667|FranTech Solutions
    209.141.57.222	United States|Nevada|Las Vegas	AS53667|FranTech Solutions
    37.114.63.100	Germany|Hessen|Frankfurt am Main	AS60461|intercolo GmbH
    45.142.122.187	Russia|Moscow|Moscow	AS210644|AEZA GROUP Ltd
    65.175.140.164	United States|Massachusetts|Boston	AS11776|Breezeline
    77.90.22.35	Germany|Hessen|Frankfurt am Main	AS12586|GHOSTnet GmbH
    95.214.53.211	Poland|Mazowieckie|Warsaw	AS201814|MEVSPACE sp. z o.o.
    meowware.ddns.net
    ```
    
    ### **CC**
    
    ```plaintext
    meowware.ddns.net
    ```
    
    ### **Sample SHA1**
    
    ```plaintext
    3287158c35c93a23b79b1fbb7c0e886725df5faa
    ba9224828252e0197ea5395dad9bb39072933910
    fe72a403f2620161491760423d21e6a0176852c3
    ```
    
    ## Tham khảo
    
    1. New Mirai botnet targets industrial routers with zero-day exploits &lt;[https://www.bleepingcomputer.com/news/security/new-mirai-botnet-targets-industrial-routers-with-zero-day-exploits/](https://www.bleepingcomputer.com/news/security/new-mirai-botnet-targets-industrial-routers-with-zero-day-exploits/)&gt;
        
    2. Mirai.TBOT – biến thể nguy hiểm của mã độc Mirai &lt;[https://ncsgroup.vn/mirai-tbot-bien-the-nguy-hiem-cua-ma-doc-mirai/](https://ncsgroup.vn/mirai-tbot-bien-the-nguy-hiem-cua-ma-doc-mirai/)&gt;
        
    3. A Botnet Deliver Through a Four-Faith Industrial Router 0-day Exploit &lt;[https://blog.xlab.qia](https://blog.xlab.qianxin.com/gayfemboy-en/).[nxin.com/gayfemboy-en/](https://blog.xlab.qianxin.com/gayfemboy-en/)&gt;
