Vào tối hôm qua giờ Việt Nam, Dyn - một trong những công ty cung cấp hạ tầng và đăng kí tên miền Internet tại Mỹ - đã bị tấn công từ chối dịch vụ (DDoS) ở quy mô rất lớn khiến nhiều dịch vụ như Twitter, Netflix, Spotify, Reddit bị chậm đi đáng kể, thậm chí dừng hoạt động. Theo công ty bảo mật Flashpoint và giám đốc chiến lược Kyle Owen của Dyn, vụ tấn công bắt nguồn từ những thiết bị Internet of Things bị cài mã độc mang tên Mirai. Đó có thể là một món đồ nào đó trong căn nhà thông minh của bạn, từ chiếc TV, tủ lạnh, lò vi sóng hoặc camera giám sát (giống vụ DDoS diễn ra ở Việt Nam cách đây 2 tuần). Vụ tấn công diễn ra trong 3 đợt: sau đợt đầu đánh vào thì Dyn đã tạm khôi phục, nhưng thêm đợt thứ 2 khiến dịch vụ sập hoàn toàn và cuối cùng hacker bồi thêm một đợt nữa.
Mirai hoạt động bằng cách tìm trên Internet những thiết bị IoT vẫn còn đang để username và password mặc định của nhà sản xuất hoặc password quá yếu. Khi nó dò ra được thông tin đăng nhập, Mirai sẽ chiếm quyền điều khiển thiết bị, biến món đồ đó thành một con bot. Cứ như vậy mà mạng lưới bot càng lúc càng lớn lên, trở thành botnet. Sau đó, hàng nghìn, thậm chí là hàng triệu hay chục triệu con bot sẽ liên tục gửi các yêu cầu tới mục tiêu (trong trường hợp này là server của Dyn) khiến máy chủ trở nên quá tải và không còn tài nguyên để xử lý những yêu cầu từng dùng thật sự. Bạn có thể xem video bên dưới để biết rõ hơn về cách hoạt động của botnet.
Bình thường botnet chỉ tập trung đánh sập 1 trang web hay dịch vụ online nào đó. Nhưng vì Dyn là một công ty cung cấp mạng và tên miền với các máy chủ DNS rất đặc thù cho nhiều doanh nghiệp lớn, việc tấn công vào các server này đã khiến hàng loạt website ở Mỹ "lên đường". Nếu bạn chưa biết thì DNS là một hệ thống giúp chuyển tên miền dạng tinhte.vn thành địa chỉ IP cụ thể của máy chủ, và nó là một phần cực kì quan trọng trong hạ tầng Internet của thế giới. Anh em có thể tìm hiểu thêm về DNS ở đây hoặc trong video cuối bài.
Hiện Bộ An ninh Nội địa Mỹ đã bắt đầu vào cuộc điều tra, cho thấy việc một hệ thống DNS bị đánh sập nguy hiểm tới cỡ nào. Mirai là phần mềm đang được phân phối rất nhiều và miễn phí trên Internet, vậy nên bất kì ai đều có thể tải về, tùy biến lại và triển khai vụ DDoS nói trên. Mã nguồn của con bot này do một người dùng tên "Anna-senpai" upload lên website Hackerforums. Các nhà nghiên cứu bảo mật nghi ngờ động thái này để nhằm xóa dấu vết vì khi nhiều hacker cùng sử dụng nó thì sẽ truy được ai là ai, vốn là một cách làm thường thấy của tin tặc khi đánh hơi thấy các nhà điều tra bắt đầu hành động.
Mirai trong vụ DDoS ngày hôm nay và việc camera an ninh bị chiếm dụng để đánh DDoS hồi tuần trước cho thấy rằng nguy cơ thiết bị IoT bị biến thành botnet là hoàn toàn có thật, và rất nghiên trọng. Tính đến lúc viết bài này, Dyn cho biết họ vẫn còn đang khôi phục lại hệ thống của mình".
Mirai hoạt động bằng cách tìm trên Internet những thiết bị IoT vẫn còn đang để username và password mặc định của nhà sản xuất hoặc password quá yếu. Khi nó dò ra được thông tin đăng nhập, Mirai sẽ chiếm quyền điều khiển thiết bị, biến món đồ đó thành một con bot. Cứ như vậy mà mạng lưới bot càng lúc càng lớn lên, trở thành botnet. Sau đó, hàng nghìn, thậm chí là hàng triệu hay chục triệu con bot sẽ liên tục gửi các yêu cầu tới mục tiêu (trong trường hợp này là server của Dyn) khiến máy chủ trở nên quá tải và không còn tài nguyên để xử lý những yêu cầu từng dùng thật sự. Bạn có thể xem video bên dưới để biết rõ hơn về cách hoạt động của botnet.
Bình thường botnet chỉ tập trung đánh sập 1 trang web hay dịch vụ online nào đó. Nhưng vì Dyn là một công ty cung cấp mạng và tên miền với các máy chủ DNS rất đặc thù cho nhiều doanh nghiệp lớn, việc tấn công vào các server này đã khiến hàng loạt website ở Mỹ "lên đường". Nếu bạn chưa biết thì DNS là một hệ thống giúp chuyển tên miền dạng tinhte.vn thành địa chỉ IP cụ thể của máy chủ, và nó là một phần cực kì quan trọng trong hạ tầng Internet của thế giới. Anh em có thể tìm hiểu thêm về DNS ở đây hoặc trong video cuối bài.
Hiện Bộ An ninh Nội địa Mỹ đã bắt đầu vào cuộc điều tra, cho thấy việc một hệ thống DNS bị đánh sập nguy hiểm tới cỡ nào. Mirai là phần mềm đang được phân phối rất nhiều và miễn phí trên Internet, vậy nên bất kì ai đều có thể tải về, tùy biến lại và triển khai vụ DDoS nói trên. Mã nguồn của con bot này do một người dùng tên "Anna-senpai" upload lên website Hackerforums. Các nhà nghiên cứu bảo mật nghi ngờ động thái này để nhằm xóa dấu vết vì khi nhiều hacker cùng sử dụng nó thì sẽ truy được ai là ai, vốn là một cách làm thường thấy của tin tặc khi đánh hơi thấy các nhà điều tra bắt đầu hành động.
Mirai trong vụ DDoS ngày hôm nay và việc camera an ninh bị chiếm dụng để đánh DDoS hồi tuần trước cho thấy rằng nguy cơ thiết bị IoT bị biến thành botnet là hoàn toàn có thật, và rất nghiên trọng. Tính đến lúc viết bài này, Dyn cho biết họ vẫn còn đang khôi phục lại hệ thống của mình".
Nguồn: The Verge, TechCrunch
