Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch botnet tinh vi, khai thác các router hỗ trợ VoIP thông qua các cuộc tấn công Mirai botnet sử dụng mật khẩu mặc định. Hoạt động ban đầu tập trung tại vùng nông thôn New Mexico trước khi mở rộng ra toàn cầu, với khoảng 500 thiết bị bị xâm nhập.
Phát Hiện Botnet Khai Thác Router VoIP
Bắt Đầu Từ New Mexico: Dấu Hiệu Ban Đầu Của Mối Đe Dọa Mạng
Việc phát hiện chiến dịch botnet này bắt nguồn từ những quan sát bất thường của các kỹ sư GreyNoise Intelligence. Họ nhận thấy một cụm địa chỉ IP độc hại không điển hình, xuất phát từ một khu vực dân cư thưa thớt ở New Mexico, với dân số chỉ hơn 3.000 người.
Khu vực này, Pueblo of Laguna Utility Authority, được xác định là nguồn gốc của khoảng 90 địa chỉ IP. Các địa chỉ này thể hiện hành vi botnet phối hợp, chủ yếu thông qua các cuộc tấn công dựa trên Telnet. Sự tập trung địa lý bất thường này đã thúc đẩy một cuộc điều tra sâu rộng.
Phân tích ban đầu cho thấy 100% lưu lượng độc hại từ khu vực này là Telnet. Điều này chỉ ra rằng kẻ tấn công đang nhắm mục tiêu một cách có hệ thống vào các thiết bị với giao thức xác thực yếu. Các hành vi này là dấu hiệu rõ ràng của một mối đe dọa mạng được tổ chức chặt chẽ.
Phân Tích Kỹ Thuật Hành Vi Botnet
Các hệ thống bị xâm nhập cho thấy nhiều đặc điểm đáng lo ngại. Chúng bao gồm khả năng tấn công vét cạn (brute-forcing) Telnet và thử nghiệm các mật khẩu mặc định phổ biến của các thiết bị IoT. Hành vi này hoàn toàn nhất quán với các biến thể của mã độc Mirai botnet.
Mirai nổi tiếng với khả năng quét và lây nhiễm các thiết bị IoT không an toàn. Nó thường sử dụng một danh sách lớn các tên người dùng và mật khẩu mặc định để giành quyền truy cập. Một khi thiết bị bị xâm nhập, nó sẽ được thêm vào mạng botnet để thực hiện các cuộc tấn công lớn hơn như tấn công từ chối dịch vụ phân tán (DDoS).
Sử dụng các công cụ phân tích hỗ trợ bởi trí tuệ nhân tạo và dữ liệu bắt gói (packet capture), các nhà nghiên cứu đã xác định rằng nhiều hệ thống bị ảnh hưởng là thiết bị hỗ trợ VoIP. Có bằng chứng cho thấy phần lớn hoạt động này có liên quan đến phần cứng của Cambium Networks.
Cuộc điều tra cũng tiết lộ một chữ ký mạng (network signature) độc đáo, ảnh hưởng đến 90% lưu lượng từ cơ sở hạ tầng bị xâm nhập. Điều này cho thấy cấu hình phần cứng tương tự trên toàn bộ botnet, giúp kẻ tấn công dễ dàng mở rộng quy mô. Một ví dụ về cách một hệ thống bị xâm nhập có thể hiển thị các kết nối Telnet bất thường có thể được kiểm tra bằng lệnh sau:
netstat -an | grep :23
Lệnh này giúp xác định các kết nối Telnet (cổng 23) đang hoạt động, có thể chỉ ra các phiên truy cập trái phép. Điều này đặc biệt quan trọng trong việc phát hiện xâm nhập sớm.
Mục Tiêu và Kỹ Thuật Khai Thác
Điểm Yếu Của Thiết Bị VoIP Trước Các Cuộc Tấn Công Mạng
Các thiết bị VoIP là mục tiêu hấp dẫn đối với tội phạm mạng vì nhiều yếu tố. Chúng thường hoạt động trên firmware nền Linux đã lỗi thời. Dịch vụ Telnet thường được bật theo mặc định trên các thiết bị này. Hơn nữa, chúng thường nhận được sự giám sát bảo mật tối thiểu hoặc quản lý bản vá kém.
Việc sử dụng mật khẩu mặc định hoặc dễ đoán là một vấn đề phổ biến. Kẻ tấn công có thể dễ dàng khai thác điều này bằng các công cụ tấn công vét cạn tự động. Điều này dẫn đến nguy cơ cao về hệ thống bị xâm nhập và trở thành một phần của botnet.
Một số ví dụ về các cặp tên người dùng/mật khẩu mặc định thường bị nhắm mục tiêu bao gồm:
- admin/admin
- root/root
- user/user
- admin/password
Việc không thay đổi các thông tin đăng nhập này tạo ra một lỗ hổng nghiêm trọng. Chúng mở đường cho các cuộc tấn công mạng quy mô lớn.
Lỗ Hổng Thực Thi Mã Từ Xa trên Thiết Bị Cambium Networks
Một số mẫu router của Cambium Networks có thể vẫn đang chạy các phiên bản firmware dễ bị tổn thương trước một lỗ hổng thực thi mã từ xa (RCE). Lỗ hổng này lần đầu tiên được tiết lộ vào năm 2017. Mặc dù không có mã CVE cụ thể được đề cập trong báo cáo ban đầu, sự tồn tại của một lỗ hổng CVE như vậy là một yếu tố then chốt.
Lỗ hổng RCE cho phép kẻ tấn công thực thi các lệnh tùy ý trên thiết bị từ xa. Điều này có thể dẫn đến chiếm quyền điều khiển hoàn toàn thiết bị. Với khả năng này, kẻ tấn công có thể cài đặt mã độc, thay đổi cấu hình, hoặc biến thiết bị thành một phần của botnet mà người dùng không hề hay biết.
Việc không cập nhật bản vá cho các lỗ hổng đã biết là một trong những rủi ro bảo mật lớn nhất. Các nhà sản xuất thường phát hành các bản vá bảo mật để khắc phục những vấn đề này. Tuy nhiên, nhiều thiết bị vẫn không được cập nhật do thiếu quản lý hoặc nhận thức.
Để kiểm tra phiên bản firmware của thiết bị Cambium Networks, người quản trị thường cần truy cập giao diện quản lý web hoặc sử dụng CLI. Ví dụ, một lệnh chung để kiểm tra thông tin hệ thống có thể là:
show system info
Hoặc truy cập trang web hỗ trợ của nhà cung cấp để đối chiếu phiên bản hiện tại với các bản vá có sẵn. Việc này là rất quan trọng để đảm bảo an toàn thông tin cho hệ thống. Thông tin chi tiết về các lỗ hổng CVE có thể tìm thấy trên cơ sở dữ liệu NVD của NIST: NVD – National Vulnerability Database.
Diễn Biến Và Sự Tái Xuất Hiện Của Cuộc Tấn Công
Tạm Dừng Bất Thường và Tiếp Tục Toàn Cầu
Trong một diễn biến bất thường, hoạt động độc hại từ tiện ích ở New Mexico đã hoàn toàn ngừng lại. Sự dừng lại này xảy ra ngay sau khi một thành viên nhóm GreyNoise đề cập ngắn gọn về cuộc điều tra trên mạng xã hội. Điều này có thể là một sự trùng hợp ngẫu nhiên. Tuy nhiên, nó cũng có thể chỉ ra rằng kẻ tấn công đang theo dõi các cuộc thảo luận nghiên cứu bảo mật. Dù lý do là gì, việc dừng lưu lượng là ngay lập tức và hoàn toàn.
Tuy nhiên, hoạt động của tấn công Mirai botnet toàn cầu đã nhanh chóng tiếp tục. Điều này cho thấy rằng chiến dịch chỉ đơn thuần thay đổi chiến thuật, thay vì bị chấm dứt hoàn toàn. Kẻ tấn công có thể đã chuyển sang các mục tiêu hoặc phương pháp khác để tránh bị phát hiện hoặc giảm thiểu rủi ro.
Sự kiên trì và khả năng thích nghi của botnet này nhấn mạnh tính chất phức tạp của các mối đe dọa mạng hiện nay. Các nhóm tấn công thường có khả năng tái tổ chức và tiếp tục hoạt động, ngay cả khi bị phát hiện một phần.
Khuyến Nghị An Ninh Mạng và Biện Pháp Phòng Ngừa
Tăng Cường Bảo Mật Thiết Bị Biên
Các chuyên gia bảo mật khuyến nghị một số hành động tức thì cho các tổ chức có thể bị ảnh hưởng bởi chiến dịch botnet này. Trước hết, quản trị viên mạng phải kiểm tra và đánh giá việc tiếp xúc của Telnet trên các hệ thống hỗ trợ VoIP. Telnet là một giao thức không an toàn vì nó truyền dữ liệu, bao gồm thông tin đăng nhập, dưới dạng văn bản thuần túy.
Thay vì Telnet, nên sử dụng các giao thức bảo mật hơn như SSH (Secure Shell) để truy cập và quản lý từ xa. SSH mã hóa tất cả lưu lượng, bảo vệ thông tin đăng nhập và dữ liệu truyền tải khỏi bị đánh cắp. Nếu không thể loại bỏ Telnet ngay lập tức, cần đảm bảo rằng nó chỉ có thể truy cập từ các mạng nội bộ được kiểm soát chặt chẽ.
Thứ hai, cần thay đổi hoặc vô hiệu hóa các thông tin đăng nhập mặc định trên tất cả các thiết bị biên (edge devices). Việc sử dụng mật khẩu mạnh, duy nhất và phức tạp là bắt buộc. Mật khẩu phải bao gồm sự kết hợp của chữ hoa, chữ thường, số và ký tự đặc biệt. Đồng thời, nên thực hiện chính sách thay đổi mật khẩu định kỳ.
Thứ ba, cần triển khai giám sát chặt chẽ các mẫu lưu lượng truy cập đi (outbound traffic) bất thường. Các dấu hiệu của một hệ thống bị tấn công có thể bao gồm lưu lượng Telnet đáng kể đến các IP không xác định, lưu lượng truy cập cao đột biến đến các cổng lạ, hoặc các nỗ lực kết nối đến các máy chủ lệnh và kiểm soát (C2) đã biết.
Sử dụng các hệ thống phát hiện xâm nhập (IDS) và hệ thống thông tin và quản lý sự kiện bảo mật (SIEM) có thể giúp tự động hóa quá trình giám sát và cảnh báo về các hoạt động đáng ngờ.
Quản Lý Bản Vá và Giám Sát Lưu Lượng Mạng
Sự cố này làm nổi bật các lỗ hổng liên tục trong các thiết bị kết nối internet. Nó cũng cho thấy cách các tiện ích nhỏ và nhà cung cấp dịch vụ internet (ISP) có thể vô tình đóng góp cơ sở hạ tầng cho các hoạt động tội phạm mạng toàn cầu. Điều này càng chứng tỏ tầm quan trọng của việc duy trì một hệ thống an ninh mạng mạnh mẽ.
Các tổ chức nên ưu tiên cập nhật bản vá firmware cho tất cả thiết bị VoIP và các thiết bị IoT khác. Nhà sản xuất thường xuyên phát hành các bản vá để khắc phục các lỗ hổng bảo mật. Việc áp dụng các bản vá này kịp thời là bước phòng thủ cơ bản và hiệu quả nhất để ngăn chặn các cuộc tấn công Mirai botnet và các loại tấn công khác.
Ngoài ra, cần vô hiệu hóa các dịch vụ không cần thiết trên thiết bị VoIP. Mỗi dịch vụ được kích hoạt là một bề mặt tấn công tiềm năng. Nếu một dịch vụ không được sử dụng, nó nên được tắt để giảm thiểu rủi ro. Ví dụ, nếu Telnet không cần thiết cho mục đích quản lý hợp pháp, nó nên được vô hiệu hóa ngay lập tức.
Việc triển khai các giải pháp bảo mật nhiều lớp, bao gồm tường lửa, hệ thống chống mã độc, và giải pháp phân tích hành vi mạng, là rất quan trọng. Điều này giúp tạo ra một bức tường phòng thủ vững chắc hơn trước các mối đe dọa mạng ngày càng phức tạp.
Đối với các thiết bị IoT và router, việc thiết lập các phân đoạn mạng riêng biệt (network segmentation) cũng là một biện pháp hữu ích. Điều này giúp cô lập các thiết bị dễ bị tổn thương khỏi các phần quan trọng hơn của mạng, hạn chế sự lây lan nếu xảy ra xâm nhập trái phép. Để hiểu rõ hơn về bảo mật thiết bị IoT, bạn có thể tham khảo thêm tại đây.
Bài Học Rút Ra Từ Sự Cố Botnet
Sự cố botnet khai thác router VoIP này là một lời nhắc nhở rõ ràng về tầm quan trọng của quản lý bảo mật thiết bị biên. Nó cho thấy ngay cả những lỗ hổng tưởng chừng nhỏ cũng có thể bị khai thác để xây dựng các botnet khổng lồ, gây ra thiệt hại nghiêm trọng.
Việc áp dụng các chính sách bảo mật chặt chẽ, bao gồm kiểm soát truy cập, quản lý bản vá thường xuyên và giám sát chủ động, là không thể thiếu. Đặc biệt đối với các thiết bị IoT và VoIP, vốn thường bị bỏ qua trong chiến lược bảo mật mạng tổng thể.
Hợp tác giữa các nhà nghiên cứu an ninh mạng, nhà cung cấp thiết bị và các tổ chức vận hành là chìa khóa để chống lại các mối đe dọa mạng. Chia sẻ thông tin về các tấn công Mirai botnet, IOCs và các chiến thuật mới của kẻ tấn công giúp cộng đồng bảo mật phản ứng nhanh hơn và hiệu quả hơn.
Các Chỉ Số Compromise (IOCs) Đáng Chú Ý
Dựa trên hoạt động được quan sát, các IOCs chính liên quan đến chiến dịch này bao gồm:
- Các nỗ lực tấn công vét cạn qua Telnet (cổng 23).
- Sử dụng các cặp tên người dùng và mật khẩu mặc định hoặc yếu.
- Các mẫu lưu lượng mạng và hành vi phù hợp với các biến thể của Mirai botnet.
- Hoạt động đáng ngờ từ các địa chỉ IP liên quan đến router VoIP bị xâm nhập, đặc biệt là các thiết bị của Cambium Networks.
- Quét mạng tích cực để tìm kiếm các thiết bị có Telnet mở.
