Xin chào bạn, bạn đang tìm hiểu về Botnet Mirai phải không? Nếu hệ thống của bạn từng đối mặt với các cuộc tấn công DDoS quy mô lớn, hoặc đơn giản là bạn muốn nâng cao kiến thức về an ninh mạng, thì bài viết này chính là dành cho bạn. Tôi sẽ cùng bạn khám phá Botnet Mirai là gì, cách thức nó hoạt động, và tại sao nó vẫn là một mối đe dọa lớn đối với các thiết bị IoT và hệ thống mạng.
Cuối cùng, tôi cũng sẽ chia sẻ những giải pháp thực tế để bảo vệ bạn khỏi mối nguy này. Tôi là Lê Thành Trung, Founder & CEO của Chống DDoS, người đã có hơn 12 năm kinh nghiệm thực chiến trong lĩnh vực an ninh mạng, đặc biệt là phòng chống DDoS.
Botnet Mirai là gì?
Mirai là một loại mã độc (malware) nguy hiểm, chuyên lây nhiễm vào các thiết bị thông minh chạy bộ xử lý ARC, biến chúng thành một mạng lưới các bot (robot) hoặc “zombie” được điều khiển từ xa. Mạng lưới các thiết bị bị kiểm soát này chính là một botnet. Các botnet Mirai thường được sử dụng để phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS) quy mô lớn, làm tê liệt các trang web và dịch vụ trực tuyến.
Về lịch sử hình thành, Mirai lần đầu tiên gây chú ý vào tháng 9 năm 2016 khi các tác giả của nó đã sử dụng botnet này để tấn công DDoS một chuyên gia bảo mật nổi tiếng. Chỉ một tuần sau sự kiện đó, mã nguồn của Mirai đã bị công khai trên Internet.
Việc này đã khiến mã độc nhanh chóng được các tội phạm mạng khác sao chép và biến thể, dẫn đến hàng loạt các cuộc tấn công lớn sau đó. Đáng chú ý nhất là cuộc tấn công vào Dyn – nhà cung cấp dịch vụ đăng ký tên miền lớn vào tháng 10 năm 2016, gây ảnh hưởng nghiêm trọng đến nhiều dịch vụ Internet trên toàn cầu.
Botnet Mirai hoạt động như thế nào?
Quá trình lây nhiễm của Mirai diễn ra tương đối đơn giản nhưng cực kỳ hiệu quả. Mã độc này liên tục quét Internet để tìm kiếm các thiết bị IoT (Internet of Things) chạy trên bộ xử lý ARC. Các thiết bị này thường sử dụng một phiên bản rút gọn của hệ điều hành Linux.
Điểm yếu lớn nhất mà Mirai khai thác là việc người dùng thường không thay đổi tên người dùng và mật khẩu mặc định của nhà sản xuất. Nếu Mirai phát hiện một thiết bị còn giữ thông tin đăng nhập mặc định, nó sẽ tự động đăng nhập và cài đặt mã độc vào thiết bị, biến nó thành một phần của botnet.
Các loại thiết bị IoT dễ bị Mirai tấn công rất đa dạng, bao gồm: camera giám sát IP, đầu ghi hình kỹ thuật số (DVR), bộ định tuyến mạng (router), thiết bị theo dõi trẻ em, thiết bị nhà thông minh, cảm biến môi trường, và nhiều thiết bị thông minh khác có kết nối Internet. Ví dụ điển hình là cuộc tấn công vào Dyn đã sử dụng hàng trăm nghìn thiết bị IoT bị chiếm quyền kiểm soát để tạo ra lưu lượng tấn công khổng lồ.
Ai là những kẻ tạo ra Botnet Mirai?
Những kẻ đứng sau Botnet Mirai là Paras Jha (21 tuổi) và Josiah White (20 tuổi) – đồng sáng lập công ty Protraf Solutions. Đây là một trường hợp kinh điển của hành vi tống tiền: công ty của họ cung cấp dịch vụ giảm thiểu tấn công DDoS cho chính các tổ chức mà phần mềm độc hại của họ đã tấn công.
Mục đích chính của chúng là tống tiền và thực hiện lừa đảo DDoS. Chúng đã cho thuê botnet Mirai để thực hiện các cuộc tấn công DDoS vào nhiều mục tiêu khác nhau nhằm mục đích gây hại hoặc đòi tiền chuộc.
Mối liên hệ giữa Mirai và gian lận nhấp chuột (click fraud)
Ngoài các cuộc tấn công DDoS, những người tạo ra Mirai còn bị kết tội vì cho thuê botnet của họ để thực hiện hành vi gian lận nhấp chuột (click fraud). Gian lận nhấp chuột là hành vi thao túng dữ liệu trả tiền mỗi lần nhấp chuột (Pay-per-click – PPC hoặc Cost-per-click – CPC) trong quảng cáo trực tuyến.
Bằng cách sử dụng các bot trong mạng lưới Mirai để tự động nhấp vào quảng cáo, chúng tạo ra lợi nhuận gian lận cho các trang web lưu trữ quảng cáo, gây thiệt hại cho các công ty đặt quảng cáo. Đây là một hình thức khai thác botnet để trục lợi tài chính một cách phi pháp, bên cạnh việc gây rối loạn hệ thống mạng.
Vì sao Botnet Mirai vẫn là mối đe dọa nghiêm trọng?
Botnet Mirai vẫn là một mối đe dọa dai dẳng vì khả năng biến đổi liên tục và những thách thức lớn trong việc ngăn chặn nó.
Sự biến đổi và phát triển của Mirai
Mặc dù những kẻ tạo ra Mirai đã bị bắt giữ, nhưng mã nguồn của chúng vẫn còn tồn tại và phát tán rộng rãi. Điều này cho phép tội phạm mạng tạo ra vô số biến thể mới của Mirai. Các biến thể nổi bật bao gồm Okiru, Satori, Masuta, PureMasuta và OMG. Ví dụ, PureMasuta có khả năng khai thác lỗ hổng HNAP trong các thiết bị D-Link, trong khi chủng OMG biến thiết bị IoT thành máy chủ proxy, giúp tội phạm mạng ẩn danh.
Bên cạnh đó, các botnet mới nổi như IoTrooper (hay còn gọi là Reaper) cũng đang gia tăng sức mạnh. IoTrooper/Reaper có khả năng lây nhiễm thiết bị IoT nhanh hơn Mirai rất nhiều, nhắm mục tiêu vào nhiều nhà sản xuất thiết bị hơn và kiểm soát các bot của mình chặt chẽ hơn. Điều này cho thấy mối đe dọa từ botnet không những không giảm đi mà còn ngày càng tinh vi và nguy hiểm hơn.
Các mô hình Botnet phổ biến
Để hiểu rõ hơn về cách botnet hoạt động và tại sao chúng khó bị gỡ bỏ, chúng ta cần tìm hiểu các mô hình botnet phổ biến:
- Botnet tập trung (Centralized botnets): Trong mô hình này, một máy chủ Command and Control (C&C) đóng vai trò là “chỉ huy” duy nhất, gửi lệnh trực tiếp đến các bot bị nhiễm. Ưu điểm của mô hình này là khả năng kiểm soát tập trung cao. Tuy nhiên, nhược điểm lớn nhất là C&C chính là điểm lỗi duy nhất (single point of failure). Nếu máy chủ C&C bị gỡ bỏ hoặc vô hiệu hóa, toàn bộ botnet sẽ trở nên kém hiệu quả hoặc ngừng hoạt động.
- Botnet C&C phân tầng (Tiered C&Cs): Đây là một mô hình phức tạp hơn, nơi việc kiểm soát botnet được tổ chức thành nhiều cấp độ với nhiều máy chủ C&C. Các nhóm máy chủ chuyên dụng có thể được chỉ định cho các mục đích cụ thể, ví dụ như tổ chức bot thành các nhóm con hoặc phân phối nội dung. Cấu trúc nhiều tầng này làm cho botnet khó bị gỡ bỏ hơn nhiều, vì việc vô hiệu hóa một C&C không đủ để làm sập toàn bộ mạng lưới.
- Botnet ngang hàng (Peer-to-peer – P2P botnets): Đây là thế hệ botnet tiếp theo, tiên tiến hơn. Thay vì giao tiếp với một máy chủ tập trung, các bot P2P hoạt động như cả máy chủ lệnh và máy khách nhận lệnh. Điều này loại bỏ hoàn toàn vấn đề điểm lỗi duy nhất của botnet tập trung. Vì botnet P2P hoạt động mà không cần một C&C trung tâm, chúng cực kỳ khó bị đóng cửa. Trojan.Peacomm và Stormnet là những ví dụ điển hình về mã độc đứng sau các botnet P2P.
Thách thức trong việc ngăn chặn sự lây lan của botnet
Việc ngăn chặn sự lây lan của botnet nói chung và Mirai nói riêng gặp phải nhiều trở ngại:
- Từ phía chủ sở hữu thiết bị IoT: Người dùng thường không có động lực để bảo mật các thiết bị thông minh của họ vì việc bị nhiễm không gây ra chi phí hay gián đoạn dịch vụ rõ rệt. Thiết bị bị nhiễm có thể được làm sạch bằng cách khởi động lại, nhưng do quá trình quét tìm bot tiềm năng diễn ra liên tục, chúng có thể bị tái lây nhiễm chỉ trong vài phút. Hầu hết chủ sở hữu thiết bị thiếu kiến thức hoặc động lực để thay đổi mật khẩu mặc định ngay lập tức sau khi khởi động lại, hoặc ngăn thiết bị truy cập Internet cho đến khi có thể reset firmware và thay đổi mật khẩu offline.
- Từ phía ISP (Nhà cung cấp dịch vụ Internet): Lưu lượng truy cập gia tăng trên mạng của họ từ các thiết bị bị nhiễm thường không đáng kể so với lưu lượng phát trực tuyến phương tiện, nên ISP ít có động lực để can thiệp.
- Từ phía nhà sản xuất thiết bị: Các nhà sản xuất có ít động lực để đầu tư vào bảo mật cho các thiết bị giá rẻ. Việc buộc họ chịu trách nhiệm pháp lý đối với các cuộc tấn công có thể là một cách để thúc đẩy thay đổi, nhưng điều này có thể khó thực hiện ở những khu vực có luật pháp lỏng lẻo. Nguy hiểm hơn, Mirai có thể vô hiệu hóa phần mềm chống vi-rút, khiến việc phát hiện trở nên khó khăn.
- Về quy mô: Mỗi năm có hơn 1,5 tỷ thiết bị dựa trên bộ xử lý ARC tràn ngập thị trường. Số lượng khổng lồ các thiết bị có thể bị biến thành botnet mạnh mẽ đồng nghĩa với việc tác động tiềm tàng của các biến thể mã độc này đã tăng lên đáng kể.
- Về tính đơn giản: Sự ra đời của các bộ công cụ botnet “sẵn sàng sử dụng” (ready-to-go botnet kits) đã loại bỏ nhu cầu về kiến thức công nghệ cao. Chỉ với $14.99 – $19.99, một botnet có thể được thuê trong cả tháng, làm cho các cuộc tấn công DDoS trở nên dễ dàng tiếp cận hơn với bất kỳ ai.
- Về tiêu chuẩn bảo mật IoT toàn cầu: Hiện tại, chưa có một thực thể hay sự đồng thuận toàn cầu nào để định nghĩa và thực thi các tiêu chuẩn bảo mật IoT. Mặc dù các bản vá bảo mật có sẵn cho một số thiết bị, nhưng người dùng có thể không có kỹ năng hoặc động lực để cập nhật. Nhiều nhà sản xuất thiết bị cấp thấp không cung cấp bất kỳ hình thức bảo trì nào, hoặc chỉ duy trì trong thời gian ngắn. Cũng không có cách nào để ngừng hoạt động các thiết bị một khi chúng không còn được bảo trì, khiến chúng trở nên không an toàn vô thời hạn.
- Về thực thi pháp luật toàn cầu: Sự khó khăn trong việc truy tìm và truy tố những kẻ tạo ra botnet khiến việc ngăn chặn sự lây lan của chúng trở nên khó khăn. Không có một tổ chức tương đương Interpol toàn cầu cho tội phạm mạng với các kỹ năng điều tra tương ứng. Lực lượng thực thi pháp luật trên toàn cầu thường không thể bắt kịp với tội phạm mạng khi nói đến công nghệ mới nhất. Nhiều botnet hiện sử dụng kỹ thuật DNS gọi là Fast Flux để che giấu các tên miền mà chúng dùng để tải xuống mã độc hoặc lưu trữ các trang lừa đảo, khiến chúng cực kỳ khó theo dõi và gỡ bỏ.
Ảnh hưởng của Botnet Mirai đến hiệu suất thiết bị và hệ thống
Việc một thiết bị IoT bị nhiễm mã độc Mirai có thể gây ra một số ảnh hưởng đến hiệu suất, tuy nhiên, thường không quá nghiêm trọng đến mức khiến chủ sở hữu nhận ra. Thỉnh thoảng, các thiết bị bị nhiễm có thể hoạt động chậm chạp hơn bình thường, nhưng phần lớn thời gian chúng vẫn hoạt động như dự kiến. Điều này giải thích tại sao chủ sở hữu thường không có động lực lớn để tìm cách dọn dẹp sự lây nhiễm.
Tuy nhiên, tác động của botnet Mirai đến các hệ thống và tổ chức lại vô cùng nghiêm trọng:
- Tác động đến ISP: Các cuộc tấn công từ botnet có thể làm quá tải các nhà cung cấp dịch vụ Internet (ISP), đôi khi dẫn đến tình trạng từ chối dịch vụ cho lưu lượng truy cập hợp pháp của người dùng.
- Tác động đến các doanh nghiệp và tổ chức: Đây là mối nguy lớn nhất. Botnet Mirai được sử dụng để phát động các cuộc tấn công DDoS quy mô lớn, làm sập các trang web và API của doanh nghiệp. Ngoài ra, chúng còn có thể được dùng để gửi thư rác hàng loạt, thực hiện gian lận nhấp chuột, giải các thử thách CAPTCHA yếu để bắt chước hành vi của con người khi đăng nhập, đánh cắp thông tin thẻ tín dụng nhạy cảm, và thậm chí tống tiền các công ty bằng cách đe dọa tấn công DDoS.
Chống DDoS: Giải pháp toàn diện bảo vệ hệ thống của bạn
Tại Chống DDoS, chúng tôi hiểu rõ những mối nguy hiểm từ Botnet Mirai và các biến thể tấn công DDoS ngày càng tinh vi.
Với đội ngũ hơn 15 kỹ sư bảo mật, 5 chuyên gia có chứng chỉ quốc tế CISSP, CEH, OSCP cùng kinh nghiệm thực chiến phát hiện và ứng phó hàng chục sự cố DDoS lớn trong năm 2024, chúng tôi tự tin mang đến cho bạn các giải pháp phòng thủ DDoS toàn diện, chuyên nghiệp và dễ triển khai.
Chúng tôi cung cấp công cụ giám sát, phân tích real-time, dashboard tương tác cùng API tích hợp dễ dàng, giúp doanh nghiệp bạn giảm downtime trung bình 85% sau khi triển khai. Hãy liên hệ ngay với chúng tôi để được tư vấn và bảo vệ hệ thống của bạn một cách hiệu quả nhất!
Câu hỏi thường gặp về Botnet Mirai
Botnet Mirai có còn hoạt động không?
Mặc dù những người tạo ra Botnet Mirai đã bị bắt, nhưng mã nguồn của nó đã được công khai. Điều này cho phép nhiều biến thể của Mirai tiếp tục được tạo ra và hoạt động. Do đó, Botnet Mirai và các biến thể của nó vẫn đang là mối đe dọa hiện hữu trong thế giới an ninh mạng.
Làm thế nào để biết thiết bị IoT của tôi có bị nhiễm Mirai không?
Việc phát hiện thiết bị IoT bị nhiễm Mirai có thể khó khăn vì chúng thường vẫn hoạt động bình thường, chỉ thỉnh thoảng có dấu hiệu chậm lại. Tuy nhiên, nếu bạn nhận thấy lưu lượng mạng bất thường từ thiết bị, thiết bị hoạt động nóng hơn bình thường khi không sử dụng, hoặc xuất hiện các hành vi lạ, đó có thể là dấu hiệu. Cách tốt nhất để kiểm tra là sử dụng các công cụ quét mạng chuyên dụng hoặc tham khảo ý kiến chuyên gia bảo mật.
Tôi có thể làm gì để bảo vệ thiết bị của mình khỏi Mirai và các botnet khác?
Để bảo vệ thiết bị IoT khỏi Mirai và các botnet tương tự, điều quan trọng nhất là bạn phải thay đổi mật khẩu mặc định ngay lập tức sau khi cài đặt. Hãy sử dụng mật khẩu mạnh, độc đáo cho từng thiết bị. Ngoài ra, bạn nên thường xuyên kiểm tra và cập nhật firmware cho thiết bị, tắt các tính năng không cần thiết, và đặt thiết bị IoT trong một mạng riêng biệt (VLAN) nếu có thể để cô lập chúng khỏi mạng chính của bạn.
