Tin tặc đã bắt đầu tăng cường "đòn" xóa dữ liệu vào phần mềm độc hại được thiết kế để lây nhiễm trên thiết bị IoT (Internet vạn vật) và các thiết bị kết nối Internet khác. Hai vụ tấn công gần đây đã cho thấy hành vi này nhưng nhiều khả năng nó vẫn chưa "bung" hết độ nguy hiểm.

Các chuyên gia từ Palo Alto Networks đã phát hiện một phần mềm độc hại mới có tên là Amnesia lây nhiễm vào máy quay phim kỹ thuật số (DVR) thông qua một cổng kết nối của máy. Amnesia là biến thể của phần mềm độc hại botnet IoT có tên Tsunami, nhưng nó bị chú ý đặc biệt vì có khả năng phát hiện nhiều thứ khi chạy trong môi trường ảo.

Phần mềm độc hại này đã thực hiện một số bước kiểm tra để xác định xem môi trường Linux nó đang chạy có thực sự là một máy ảo dựa trên VirtualBox, VMware, hoặc QEMU hay không. Môi trường như vậy thường được các chuyên gia an ninh mạng xây dựng Sandbox hoặc Honeypot (nơi cô lập với môi trường thật).

Việc dò tìm máy ảo thực tế đã tồn tại trong các phần mềm độc hại trên nền tảng Windows từ lâu, nhưng đây là lần đầu tiên tính năng này được phát hiện ở phần mềm độc hại cho các thiết bị kết nối với nền tảng Linux. Nếu Amnesia phát hiện sự hiện diện của một máy ảo, nó sẽ cố gắng xóa các thư mục quan trọng trong hệ thống tập tin bằng cách sử dụng các lệnh của Linux, sau đó nó sẽ tự xóa dấu vết.

Trong khi đó, các chuyên gia từ Công ty an ninh mạng Radware cũng vừa chỉ ra một hình thức tấn công mới, phá hủy các thiết bị IoT thay vì thiết lập một mạng botnet.

Được đặt tên là từ chối dịch vụ lâu dài (PDoS), các cuộc tấn công có thể dẫn đến việc phải thay thế thiết bị hay cài đặt lại phần mềm. Cụ thể, các lỗ hổng an ninh sẽ bị khai thác để phá hủy firmware, hay các chức năng cơ bản của hệ thống.

Một trong những công cụ được sử dụng ở dạng tấn công này có tên BrickerBot.  Các nhà nghiên cứu đã phát hiện hai biến thể xuất hiện từ ngày 20-3-2017. Một biến thể có vòng đời rất ngắn, trong khi biến thể còn lại vẫn tiếp tục hoạt động. Cả hai biến thể này đều có cùng mục đích là xâm nhập vào thiết bị IoT và đánh sập bộ nhớ thiết bị.

Để xâm nhập thiết bị, BrickerBot sử dụng kiểu tấn công Telnet brute force (tấn công khai thác tài khoản quản trị), phương thức mà trước đây Botnet Mirai đã dùng để thiết lập các cuộc tấn công từ chối dịch vụ (DDoS).

Một khi xâm nhập thành công, PDoS bot sẽ thực thi một chuỗi lệnh Linux nhằm vô hiệu bộ nhớ. Tiếp theo, nó tìm cách ngắt kết nối Internet và xóa tất cả tập tin. Hình thức tấn công này chủ yếu nhắm đến các thiết bị IoT chạy trên nền tảng Linux/BusyBox mở cổng Telnet công khai trên Internet.

Trong khi một số thiết bị có thể "sống sót" trong cuộc tấn công nhờ sử dụng phân vùng chỉ đọc (read-only partition), nhiều thiết bị có cấu hình yếu hoặc trong trường hợp router có cổng USB hay mạng gắn thiết bị lưu trữ, ổ đĩa cứng gắn ngoài... dữ liệu có thể bị xóa vĩnh viễn.

Phần lớn người dùng rất khó nhận biết router, camera IP, hay các hệ thống mạng của họ bị nhiễm phần mềm độc hại, vì hiệu suất bị ảnh hưởng có thể không lớn. Tuy nhiên, họ sẽ ngay lập tức nhận ra vấn đề nếu họ bị "dính" BrickerBot, vì thiết bị sẽ ngừng hoạt động và phần lớn trường hợp cần phải sửa chữa.

Theo Palo Alto Networks, chỉ riêng lĩnh vực quay phim kỹ thuật số, đã có hơn 227.000 thiết bị trên toàn thế giới có lỗ hổng dễ bị khai thác này đang kết nối Internet trực tiếp, và số lượng ngày càng tăng thêm.

Để an toàn cho người dùng, các chuyên gia khuyến cáo, trước khi mua một máy ảnh, bộ định tuyến, hệ thống NAS, hoặc các thiết bị IoT khác, người dùng cần xem xét kỹ thông tin của nhà sản xuất, như: Công ty có một bộ phận chuyên nghiệp để xử lý các vấn đề an ninh không? Họ đã xử lý các lỗ hổng của sản phẩm trước đây như thế nào? Họ có khuyến cáo an ninh, bảo mật không? Công ty có thường xuyên phát hành các bản vá lỗi bảo mật không? Họ có bảo hành sản phẩm trong một khoảng thời gian hợp lý không? Các sản phẩm có tính năng cập nhật tự động không?... Và chỉ mua hàng khi những câu hỏi này được trả lời thỏa đáng. 

HOÀNG THY (Theo InfoWorld)