Tác giả mã độc BrickerBot đang phá hoại hàng ngàn thiết bị IoT trở thành người hùng trong mắt nhiều người?

By | 11:50 pm | 01/08/2017

geographic-distribution-brickerbot-1
Bản đồ lây lan mã độc BrickerBot – 1 chấm = 1 bot, tổng cộng là 223

Từ thứ ba ngày 25/7 cho tới thứ bảy ngày 29/7, liên tiếp nhận được tin báo mất kết nối Internet từ các tiểu bang phía Đông Bắc, Bắc và Nam Ấn Độ khi các đèn RED của modems và routers luôn luôn sáng. Sự cố này ảnh hưởng tới các modem và router thuộc 2 nhà cung cấp dịch vụ viễn thông Ấn Độ: Bharat Sanchar Nigam Limited (BSNL) và Mahanagar Telephone Nigam Limited (MTNL).

Theo BSNL, nguyên nhân dẫn đến downtime hàng loạt này là do mã độc BrickerBot. Bên cạnh việc ảnh hưởng đến các router của khách hàng, mã độc còn ảnh hưởng đến bộ định tuyến của BSNL’s Internet Backbone (NIB), nhưng ngay lập tức chúng đã được khôi phục.

“BrickerBot là một loại mã độc ảnh hưởng đến các thiết bị nhúng trên nền tảng Linux do hacker Janit0r tạo ra.

Theo một thống kê, BrickerBot thứ nhất đã tấn công 1.895 thiết bị trong 4 ngày hoạt động đầu tiên. BrickerBot thứ 3 tấn công gần 1.400 thiết bị trong 24 giờ.”

29BGBSNLMODEM

BSNL ước tính khoảng 60.000 modem bị mất kết nối, ảnh hưởng đến 45% kết nối băng thông rộng của họ và chỉ tấn công các modem sử dụng mật khẩu mặc định (admin/admin), và đã yêu cầu hơn 2000 người dùng thay đổi thông tin mặc định của thiết bị.

Về phía MTNL, công ty không cung cấp bất kỳ con số nào.

Vào cuối tuần qua, Janit0r đã tuyên bố anh ta đang đứng sau sự cố downtime này.

Không giống như các phần mềm độc hại khác, lợi dụng lỗ hổng của các thiết bị để tạo ra một mạng botnet hoặc cho các mục đích khác, BrickerBot khiến các thiết bị trở thành đồ bỏ đi bằng cách ghi đè lên bộ nhớ flash của chúng.

Theo Janit0r, anh ta tạo ra và phát tán BrickerBox chỉ để nâng cao nhận thức của các nhà cung cấp dịch vụ ISP rằng họ đang sử dụng các thiết bị không an toàn và làm hỏng các thiết bị IoT để chúng không bị lợi dụng vào các mục đích xấu. Anh ta hy vọng rằng trong tương lai, các chủ sở hữu và các nhà cung cấp dịch vụ Internet sẽ quan tâm hơn đến việc bảo vệ các thiết bị chống lại bị bricking cũng như mã độc Mirai, Hajime, Imeij, Amnesia…

Hàng trăm nghìn modem của BSNL và MTNL sử dụng TR069 (TR064) thông qua port 7547, cho phép bất kỳ ai có thể thiết lập cấu hình các thiết bị thông qua các cuộc tấn công MITM hay tấn công DNS Hijacking. TR069 là một giao thức quản lý giúp các nhà cung cấp dịch vụ ISP sử dụng để quản lý router khách hàng.

Ngày nay, mã độc IoT đáng sợ nhất là Mirai, do đó việc một hacker giấu tên, Janit0r đã quyết định tấn công các thiết bị IoT. Hành động này có thể coi là hành động phá hoại, tuy nhiên với nhiều người, Janit0r lại trở thành người hùng.

Janit0r đưa ra khuyến nghị: Các nhà cung cấp dịch vụ ISP cần chặn các cổng điều khiển trên các thiết bị IoT của người dùng.

Ngoài ra anh cũng đưa ra cảnh báo về các thiết bị bị ảnh hưởng tuơng tự của Công ty Viễn thông Pakistan (Pakistan Telecommunication Company Limited – PTCL).

Theo: bleepingcomputer.com