Một người đàn ông 22 tuổi ở Vancouver, Washington (Mỹ) vừa bị Bộ Tư pháp Mỹ kết án 13 tháng tù vì tội danh phát triển mạng botnet Satori, chiếm quyền hàng trăm ngàn hệ thống thiết bị IoT và triển khai tấn công từ chối dịch vụ phân tán (DDoS).
Botnet Satori được phát triển dựa trên mã của phần mềm botnet Mirai – hệ thống botnet khét tiếng từng đánh sập hàng loạt trang web lớn năm 2016. Sau đó xâm nhập hàng trăm ngàn thiết bị IoT, khai thác lỗ hổng và lây nhiễm trên cả những bộ định tuyến được bảo vệ bằng mật khẩu mạnh.
Kenneth Currin Schuchman, tin tặc nổi tiếng với bí danh trực tuyến “Nexus Zeta”, đã bị kết án 13 tháng tù, vì vi phạm Đạo luật Lừa đảo & Lạm dụng Máy tính. Ngoài ra, Schuchman còn phải chịu 18 tháng quản thúc trong cộng đồng vì lạm dụng chất kích thích, có dấu hiệu tâm thần, cùng ba năm giám sát sau khi ra tù.
Tháng 8/2018, Schuchman bị buộc tội lần đầu, sau đó được thả ra để giám sát trước khi kết án. Nhưng hắn lại tiếp tục có hành vi trái phép, tiếp tục bắt tay với đồng bọn tạo và vận hành các hệ thống botnet để thực hiện những cuộc tấn công từ chối dịch vụ phân tán (DDoS).
Theo tài liệu toà án, Kenneth Currin Schuchman cùng đồng bọn, gồm Aaron Sterritt và Logan Shwydiuk, đã tạo ra nhiều nhiều phần mềm độc hại DDoS botnet từ tháng 8/2017, sau đó sử dụng chúng để thao túng hàng trăm ngàn bộ định tuyến (router) và những thiết bị kết nối Internet khác trên toàn cầu.
Các botnet được đặt tên là Satori, Okiru, Masuta và Tsunami hoặc Fbot. Tất cả đều là bản kế nhiệm của phần mềm độc hại Mirai, cùng được tạo ra bằng cách sử dụng mã nguồn của Mirai và bổ sung thêm một số tính năng tinh vi và hiệu quả hơn để tấn công mục tiêu. Dù những tin tặc từng phát triển botnet Mirai đời đầu đã bị bắt và kết án năm 2018 nhưng nhiều biến thể đã xuất hiện trên Internet sau vụ rò rỉ mã nguồn trực tuyến năm 2016.
Theo Bộ Tư pháp Mỹ, từ tháng 8/2017 đến nay, nhóm tin tặc này thuê những nhiều hệ thống botnet IoT và khai thác chúng để thực hiện các cuộc tấn công DDoS. Cuối năm 2017, các nhà nghiên cứu Checkpoint phát hiện ra botnet Satori, một biến thể của Mirai, khai thác lỗ hổng zeroday thực thi mã từ xa (CVE-2017-17215) trong các thiết bị Huawei HG532 đã lây nhiễm hơn 200.000 địa chỉ IP chỉ trong vòng 12 giờ.
Theo Security Boulevard, Botnet Satori sẽ không thể khởi động các cuộc tấn công DDoS nếu không chiếm được quyền điều hành các bộ định tuyến và thiết bị IoT có nhiều lỗ hổng để tạo thành hệ thống botnet. Doanh nghiệp và người dùng cá nhân có thể tự bảo vệ bản thân bằng cách không sử dụng mật khẩu mặc định hoặc dễ bẻ khóa trên các thiết bị IoT, luôn cập nhật cấu hình và bản vá bảo mật mới để hạn chế tối đa những mối nguy.
Các nhà sản xuất cũng cần xem xét kỹ để tạo ra các sản phẩm an toàn ngay từ đầu, đảm bảo thiết bị không có lỗ hổng và thường xuyên phát hành bản cập nhật bảo mật để bảo vệ khách hàng.