Các nhà nghiên cứu vừa phát hiện một loại botnet mới được gọi là “dark_nexus”, loại mã độc này có khả năng xâm nhập và lây nhiễm trên các thiết bị thông minh, sau đó thực hiện những cuộc tấn công từ chối dịch vụ phân tán (DDoS).
Botnet (Bots network) là một loại mã độc, thường lây nhiễm trên hàng loạt máy tính, thiết bị Internet of Things. Sau khi botnet xâm nhập vào hệ thống, máy tính sẽ biến thành “zoombie”, bị chi phối và điều khiển từ xa bởi một máy chủ khác. Tin tặc có thể sử dụng mạng lưới máy tính để thực hiện những cuộc tấn công từ chối dịch vụ phân tán (DDoS), chạy chiến dịch spam… Loại mã độc này có khả năng kích hoạt theo yêu cầu thông qua các nền tảng cung cấp dịch vụ cho thuê DDoS.
Theo các nhà nghiên cứu thuộc công ty an ninh mạng Bitdefender, dark_nexus được phát triển từ nền tảng của Qbot và Mirai nhưng mạnh hơn rất nhiều.
Dark_nexus hoạt động bằng cách sử dụng các cuộc tấn công nhồi thông tin xác thực (credential stuffing) vào nhiều loại thiết bị, ví dụ bộ định tuyến (từ Dasan Zhone, Dlink và ASUS), máy quay video và camera nhiệt, sau đó đưa chúng vào mạng botnet.
Hiện botnet này đã tồn tại được ba tháng, trong thời gian đó có đến ba phiên bản khác nhau được phát hành. Hiện tại có hơn 1.372 máy bot đã được kết nối với botnet, phần lớn xuất phát từ Trung Quốc, Hàn Quốc, Thái Lan, Nga, Brazil và cả Việt Nam.
Theo các nhà nghiên cứu, dark_nexus được tích hợp các tính năng cơ bản của một loại botnet, đồng thời có một số điểm tương đồng với Mirai và Qbot. Tuy nhiên, một số module trong đó được phát triển mạnh hơn đáng kể. Ví dụ, mã khai thác (payload) có khả năng biên dịch cho 12 cấu trúc CPU khác nhau, được phân phối tùy thuộc vào cấu hình và thiết lập của nạn nhân.
Các nhà nghiên cứu của Bitdefender cho rằng greek.Helios chính là người đã phát triển nên dark_nexus. Đây là một chuyên gia tạo botnet nổi tiếng, chuyên bán dịch vụ DDoS trên các nền tảng truyền thông xã hội và sử dụng kênh YouTube để quảng cáo.
Bonet dark_nexus được cập nhật thường xuyên với hơn 30 bản nâng cấp trong 3 tháng, từ tháng 12/2019 đến tháng Ba vừa qua (phiên bản 4.0 đến 8.6).
Trong quá trình khởi động, bot sử dụng các quy trình tương tự như Qbot như giả mạo nhiều lần, chặn một số tín hiệu và tự tách khỏi thiết bị đầu cuối. Sau đó, theo mạch của Mirai, botnet sẽ tự liên kết với cổng 7630 để đảm bảo phiên bản duy nhất của bot có thể chạy trên thiết bị. Chương trình còn cố gắng che giấu hoạt động bằng cách đổi tên thành /bin/busybox. Một tính năng khác được mượn từ Mirai là vô hiệu hóa cơ quan giám sát bằng các cuộc gọi ioctl định kỳ trên thiết bị ảo.
Cơ sở hạ tầng của hệ thống gồm các máy chủ chỉ huy và kiểm soát (command-and-control – C2) (switchnets[.]net:30047 amd thiccnigga[.]me:30047), phát lệnh từ xa cho các bot bị nhiễm, sau đó báo cáo cho máy chủ thông tin chi tiết về những dịch vụ dễ bị tấn công (ví dụ: các thiết bị chỉ được bảo vệ bởi mật khẩu mặc định).
Sau khi xâm nhập thành công, bot đăng ký vào máy chủ C2, xác định cấu trúc CPU của thiết bị, truyền mã khai thác (payload) tùy chỉnh qua Telnet, tải các bot nhị nhân (bot binaries) và một số mã độc khác từ máy chủ (switchnets[.]net:80).
Một số phiên bản trước của botnet (từ 4.0 đến 5.3) còn đi kèm tính năng proxy ngược, cho phép nạn nhân hoạt động như một proxy của máy chủ, hướng thiết bị bị nhiễm tải và lưu tữ tập tin thực thi cần thiết, thay vì phải kết nối đến máy chủ trung tâm.
Ngoài ra, dark_nexus còn có các lệnh ngăn thiết bị khởi động lại bằng cách dừng dịch vụ cron, xóa đặc quyền đối với các dịch vụ được sử dụng để khởi động thiết bị.
Kể từ khi phát hiện năm 2016, botnet Mirai được liên kết với nhiều cuộc tấn công DDoS quy mô lớn. Từ đó đến nay đã xuất hiện nhiều biến thể của Mirai, một phần do mã nguồn sẵn có trên mạng.
Các tác giả bonet đã tổ chức nhiều cuộc tấn công và xâm nhập vào những trang web WordPress, sau đó chèn mã độc trojan ngân hàng Qbot và tải xuống phần mềm độc hại bổ sung.
Việc Dark_nexus được xây dựng trên nền tảng của Mirai và Qbot đã cho thấy chiến thuật phát triển của các nhà khai thác botnet và một số tin tặc thiếu kinh nghiệm. Theo đó, mã độc sẽ có thêm chức năng mới bằng cách khai thác nhiều lỗ hổng khác nhau trên các thiết bị IoT hiện đại được bảo mật kém.
