Trong bài viết công bố tuần này, đội ngũ Kaspersky Lab cho biết đã dò ra những máy tính chạy Windows lây lan malware Mirai bắt nguồn từ Trung Quốc
Theo Kaspersky Lab, mạng bot này có vẻ được tạo ra bởi lập trình viên có kinh nghiệm hơn là những kẻ đã thực hiện tấn công DDoS ồ ạt vào cuối năm 2016 – điều này dấy lên lo ngại về mục tiêu tương lai của các cuộc tấn công sử dụng Mirai. Tác giả của malware này được xác định có thể là người nói tiếng Trung.
Spreader chạy trên Windows mới này mạnh hơn so với Mirai nguyên bản, nhưng hầu hết mọi bộ phận, thủ thuật và chức năng của nó đều đã cũ. Khả năng phát tán Mirai còn hạn chế ở chỗ: nó chỉ có thể phát tán từ máy tính Windows đã bị lây nhiễm đến thiết bị IoT yếu thuộc hệ điều hành Linux nếu nó có thể bị tấn công kết nối telnet từ xa thành công.
Tuy bị hạn chế nhưng mã độc này chính là tác phẩm của lập trình viên có kinh nghiệm. Các yếu tố tạo tác như ngôn ngữ trong phần mềm, mã độc được viết trên hệ thống Trung Quốc có máy chủ tại Đài Loan và có giấy phép trộm từ các công ty Trung Quốc cho thấy lập trình viên có thể là người nói tiếng Trung.
Kurt Baumgartner, Giám đốc Nghiên cứu Bảo mật, Kaspersky Lab cho biết: “Sự xuất hiện của Mirai lai giữa nền tảng Linux và Windows là vấn đề đáng lo ngại, vì nó cho thấy sự xuất hiện của lập trình viên dày dạn kinh nghiệm. Lần tung mã nguồn của Trojan ngân hàng Zeus đã khiến cộng đồng trực tuyến gặp rắc rối trong nhiều năm và giờ đây, mã nguồn mạng lưới bot của các thiết bị IoT thuộc Mirai đang làm điều tương tự.
Những kẻ tấn công nhiều kinh nghiệm hơn, có nhiều kĩ năng và thủ thuật ngày càng tinh vi đang bắt đầu phát tán mã độc Mirai một cách không do dự. Botnet Windows dùng để phát tán bot IoT của Mirai vượt qua trở ngại và cho phép phát tán Mirai đến những thiết bị và mạng lưới mới. Đây chỉ mới là sự bắt đầu”.
Theo ghi nhận của Kaspersky Lab, gần 500 hệ thống đã bị bot Windows này tấn công trong năm 2017 và những nỗ lực lây nhiễm đều bị phát hiện và ngăn chặn.
Dựa trên địa chỉ IP trong giai đoạn tấn công thứ hai, những quốc gia dễ bị tấn công nhất là những thị trường mới nổi đã và đang đầu tư lớn vào công nghệ kết nối như Ấn Độ, Việt Nam, Ả-rập Saudi, Trung Quốc, Iran, Brazil, Moroco, Thổ Nhĩ Kỳ, Malawi, Các tiểu vương quốc Ả-rập thống nhất, Pakistan, Tunisia, Nga, Moldova, Venezuela, Philippines, Colombia, Romania, Peru, Ai Cập và Bangladesh.
Kaspersky Lab cùng với CERT (Đội ứng cứu máy tính khẩn cấp), nhà cung cấp và các nhà điều hành mạng để giải quyết các mối đe dọa ngày càng tăng lên đối với cơ sở hạ tầng của Internet bằng cách giảm đáng kể số lượng máy chủ. Việc gỡ bỏ nhanh chóng và thành công những máy chủ này làm giảm thiểu rủi ro và làm gián đoạn botnet IoT đang phát triển nhanh hiện nay. Nhờ tận dụng kinh nghiệm và mối quan hệ với CERT và các nhà cung cấp trên toàn thế giới, Kaspersky Lab đã có thể xúc tiến những nỗ lực này.