Theo Threatpost, các nhà nghiên cứu vừa tìm thấy một mã độc mới, rất khó phát hiện, được viết bằng ngôn ngữ lập trình mã nguồn mở của Google, có khả năng tấn công hàng triệu router và thiết bị IoT. Sự việc này tiếp tục gióng lên hồi chuông cảnh báo trình trạng bảo mật lỏng lẽo trên các thiết bị thông minh có kết nối mạng.
Được phát hiện bởi các nhà nghiên cứu tại AT&T AlienLabs, BotenaGo có thể khai thác hơn 30 lỗ hổng khác nhau để tấn công một mục tiêu. Ofer Caspi, một chuyên gia bảo mật của Alien Labs, đã công bố kết quả tìm hiểu bước đầu trên blog hôm 11/11.
Hiện tại mã độc này vẫn chưa được các phần mềm diệt virus phân loại. Trong kịch bản của các nhà nghiên cứu, BotenaGo có thể lây nhiễm cho gần 2 triệu thiết bị chỉ bằng một phương thức tấn công.
Nguy cơ lây lan rộng
Mã độc được viết bằng Golang —một ngôn ngữ lập trình do Google giới thiệu lần đầu tiên vào năm 2007. Theo mô tả của Ofer Caspi, BotenaGo hoạt động bằng cách tạo một cửa hậu trên thiết bị, sau đó chờ nhận lệnh tấn công của người điều khiển từ xa thông qua cổng 19412 hoặc từ một module liên quan khác đang chạy trên cùng thiết bị.
Golang, còn được gọi là Go, ra đời nhằm mục đích đơn giản hóa cách xây dựng phần mềm. Các nhà phát triển có thể biên dịch nhanh chóng cùng một mã nguồn cho các hệ thống khác nhau. Tính năng này là lý do khiến cho tin tặc ưa thích sử dụng Go để phát triển virus trong thời gian gần đây. Những kẻ tấn công dễ dàng phát tán mã độc trên nhiều hệ điều hành.
Theo nghiên cứu từ công ty phân tích bảo mật Intezer, lượng mã độc viết bằng Go được tìm thấy trong thực tế đã tăng đến 2.000%.
Đến thời điểm này, các chuyên gia tại AlienLabs chưa xác định được mối đe dọa hoặc tác nhân nào đã phát triển BotenaGo, cũng như quy mô đầy đủ của những thiết bị dễ bị tấn công bởi phần mềm độc hại. Các biện pháp bảo vệ chống virus hiện có dường như không phát hiện ra BotenaGo, hoặc đôi khi xác định nhầm nó là một biến thể của mã độc Mirai.
Quy trình thiết lập cuộc tấn công
Theo mô tả của Caspi, BotenaGo bắt đầu công việc với một số động thái thăm dò để xem thiết bị có dễ bị tấn công hay không. Mã độc sẽ khởi tạo các bộ đếm lây nhiễm toàn cầu, thông báo cho tin tặc về tổng số lần lây nhiễm thành công. Sau đó, nó sẽ tìm kiếm thư mục 'dlrs' để tải các tệp script shell. Nếu thư mục này bị thiếu, BotenaGo sẽ dừng quá trình lây nhiễm.
Trong bước cuối cùng trước khi kiểm soát hoàn toàn, BotenaGo gọi chức năng 'scannerInitExploits'. "Mã độc khởi tạo cuộc tấn công bằng cách ánh xạ tất cả các chức năng tấn công với chuỗi liên quan đại diện cho hệ thống được nhắm mục tiêu", Caspi cho biết.
Khi xác định rằng một thiết bị dễ tấn công, BotenaGo sẽ tiến hành khai thác bằng cách truy vấn mục tiêu, trước tiên bằng một yêu cầu đơn giản "GET". Sau đó, nó tìm kiếm dữ liệu trả về với từng dấu hiệu trong hệ thống đã được ánh xạ để tấn công các chức năng.
Các nhà nghiên cứu nêu chi tiết một số cuộc tấn công có thể được thực hiện bằng cách sử dụng truy vấn này. Chẳng hạn, phần mềm độc hại ánh xạ chuỗi "Server: Boa / 0.93.15" với hàm "main_infectFunctionGponFiber", cố gắng khai thác một mục tiêu dễ bị tấn công.
Điều này cho phép kẻ tấn công thực hiện lệnh hệ điều hành tùy ý trên máy chủ (OS Command), thông qua một yêu cầu web đặc biệt, bằng cách sử dụng lỗ hổng CVE-2020-8958. "Một cuộc tìm kiếm trên SHODAN đã chỉ ra gần 2 triệu thiết bị dễ bị tấn công kiểu này", Caspi chỉ ra quy mô khổng lồ của cuộc tấn công nếu tin tặc kích hoạt.
"Tổng cộng, phần mềm độc hại này khởi tạo 33 chức năng khai thác, sẵn sàng lây nhiễm cho các mục tiêu tiềm năng", Caspi viết. Danh sách đầy đủ các lỗ hổng mà BotenaGo có thể khai thác được công bố trên bài viết của nhóm AlienLabs.
Các nhà nghiên cứu nhận thấy BotenaGo có 2 cách nhận lệnh tấn công khác nhau. Đầu tiên là tạo cổng backdoor – 31421 và 19412. Đây là phương thức được sử dụng trong một kịch bản của các nhà nghiên cứu.
"Trên cổng 19412, nó sẽ lắng nghe để nhận IP của nạn nhân. Sau khi nhận thông tin, nó sẽ kích hoạt các chức năng khai thác đã ánh xạ và thực thi chúng với IP được chỉ định", Caspi giải thích.
Cách thứ hai BotenaGo có thể nhận lệnh là từ thiết bị đầu cuối của hệ thống. "Ví dụ, nếu phần mềm độc hại đang chạy cục bộ trên một máy ảo, một lệnh có thể được gửi qua telnet", Caspi nói thêm.
Nguy cơ đối với mạng doanh nghiệp
Một chuyên gia bảo mật cho biết, với khả năng khai thác các thiết bị kết nối qua Internet, BotenaGo là mối nguy hiểm tiềm ẩn đối với các mạng công ty. Hacker có thể âm thầm xâm nhập thông qua các thiết bị dễ tổn thương và thực hiện ý đồ xấu của chúng.
"Những kẻ xấu thích khai thác các thiết bị này để xâm nhập vào hệ thống mạng bên trong hoặc sử dụng nó như một bàn đạp khởi động các cuộc tấn công khác", Erich Kron, chuyên gia bảo mật tại công ty an ninh mạng KnowBe4, nêu ý kiến.
Ông cũng cho rằng những đợt tấn công quy mô lớn có thể kích hoạt sau khi tin tặc chiếm được thiết bị và dọn đường cho cuộc tấn công DDoS, dẫn đến việc tống tiền nạn nhân hoặc thực hiện các hành vi phạm tội khác. Tin tặc cũng có thể lưu trữ và phát tán phần mềm độc hại bằng cách sử dụng kết nối Internet của nạn nhân.
"Với số lượng lỗ hổng mà nó có thể xâm nhập, BotenaGo cho thấy tầm quan trọng của việc giữ thiết bị IoT và router được cập nhật firmware cũng bản vá mới nhất để tránh bị khai thác", ông nói thêm.
