Mạng botnet từ hàng nghìn router bị nhiễm khó được xóa bỏ – tuy nhiên có một phương pháp hiệu quả để chống lại.

Đã phát hiện một mạng botnet mới bền vững – KadNap

*Các nhà nghiên cứu từ Black Lotus Labs (Lumen) đã xác định được một mạng lưới độc hại vẫn tiếp tục hoạt động mặc dù có những nỗ lực xóa bỏ.*

Những gì họ tìm thấy
- Botnet KadNap đã ảnh hưởng tới khoảng 14.000 bộ điều hướng và các thiết bị mạng khác, phần lớn là từ nhà sản xuất Asus.

- Mã độc lan truyền qua các lỗ hổng chưa được vá bởi chủ sở hữu thiết bị.
Hầu hết các thiết bị nhiễm bệnh thuộc dòng mô hình Asus vì kẻ tấn công đã tìm ra một khai thác đáng tin cậy dành riêng cho dòng này.

Đánh giá mối đe dọa
- Các nhà nghiên cứu cho rằng khả năng sử dụng các lỗ hổng “zero-day” (vô danh chưa được biết đến) là rất thấp.

- Vào tháng Tám năm ngoái, đã có 10.000 thiết bị nhiễm bệnh, phần lớn ở Hoa Kỳ. Ở Đài Loan, Hồng Kông và Nga cũng đã phát hiện vài trăm trường hợp.

Cơ chế hoạt động
KadNap sử dụng kiến trúc peer-to-peer Kademlia – bảng hash phân tán, giúp che giấu địa chỉ IP của các máy chủ điều khiển. Điều này làm cho botnet khó bị phát hiện và gần như không thể phá hủy bằng các phương pháp truyền thống.

> “Botnet nổi bật bởi việc thay vì dùng proxy ẩn danh mà sử dụng mạng peer-to-peer phân tán,” – Chris Formos và Steve Radd từ Black Lotus ghi nhận trong blog của Lumen.
>
> “Mục tiêu của kẻ tấn công là tránh bị phát hiện và làm phức tạp công việc cho các chuyên gia an ninh thông tin.”

Cách họ phản ứng
- Mặc dù bền vững trước các biện pháp chặn thông thường, Black Lotus đã phát triển một phương pháp ngắt toàn bộ lưu lượng mạng giữa cơ sở hạ tầng điều khiển botnet và các nút khác.

- Nhóm công bố các chỉ báo vi phạm vào nguồn mở để các tổ chức khác có thể nhanh chóng chặn truy cập tới KadNap.

Như vậy, KadNap là một botnet phức tạp, phân tán, sử dụng lỗ hổng Asus và mạng peer-to-peer để che giấu hệ thống điều khiển. Tuy nhiên, chuyên gia của Lumen đã tìm ra cách dừng sự lan truyền và cung cấp công cụ bảo vệ mạng khỏi nhiễm bệnh tiếp theo.