Phát hiện một mạng botnet độc hại nhắm mục tiêu đến các máy chủ Windows và Linux toàn cầu trong gần hai năm

Do sự gia tăng mạnh mẽ về giá trị giao dịch tiền điện tử, đặc biệt là đồng Bitcoin trong thời gian gần đây, xu hướng các hệ thống trực tuyến toàn cầu bị tấn công bởi các mạng botnet khai thác tiền ảo cũng tăng “phi mã”. Mọi hệ thống bảo mật kém đều có thể dễ dàng trở thành nạn nhân của botnet độc hại.

Một ví dụ điển hình mới được phát hiện là trường hợp của một mạng botnet độc hại có tên WatchDog.

Botnet này được tìm ra bởi Unit42, một đội ngũ chuyên gia bảo mật chuyên biệt thuộc Palo Alto Networks. WatchDog hoạt động chủ yếu trong lĩnh vực khai thác tiền điện tử. Và điều đáng nói là mạng botnet này đã triển khai các chiến dịch độc hại kể từ tháng 1 năm 2019, nhưng phải đến bây giờ mới bị phát hiện – sau khoảng thời gian gần 2 năm.

Đi sâu hơn vào quy trình phân tích, các nhà nghiên cứu nhận thấy WatchDog được viết bằng ngôn ngữ lập trình Go, đồng thời ghi nhận những trường hợp lây nhiễm sang cả các hệ thống Windows và Linux.

Mục tiêu chính trong các cuộc tấn công của mạng botnet này là các ứng dụng doanh nghiệp lỗi thời. Theo một phân tích chuyên sâu về hoạt động của mạng botnet WatchDog được công bố gần đây, Unit42 cho biết những kẻ đứng sau điều hành mạng botnet đã sử dụng ít nhất 33 phương thức khai thác khác nhau để nhắm vào 32 lỗ hổng bảo mật nằm trong phần mềm doanh nghiệp như:

  • Drupal
  • Elasticsearch
  • Apache Hadoop
  • Redis
  • Spring Data Commons
  • SQL Server
  • ThinkPHP
  • Oracle WebLogic
  • CCTV

Dựa trên các manh mối mà đội ngũ Unit42 thu được bằng cách phân tích mã nhị phân phần mềm độc hại WatchDog, các nhà nghiên cứu ước tính kích thước của mạng botnet hiện rời vào khoảng 500 đến 1.000 hệ thống bị nhiễm – một con số không hề nhỏ.

Lợi nhuận phi pháp mà mạng botnet này thu được ước tính đạt 209 Monero, tương đương 32.000 USD theo tỉ giá hiện hành. Tuy nhiên, con số thực được cho là cao hơn nhiều vì các nhà nghiên cứu chỉ tập trung để phân tích một số mã nhị phân nhất định, và băng đảng đứng sau vận hành botnet được cho là đã sử dụng nhiều địa chỉ Monero hơn để thu thập các quỹ khai thác tiền điện tử bất hợp pháp.

Tin tốt cho các chủ sở hữu máy chủ Windows và Linux trên toàn thế giới là WatchDog vẫn chưa thể sánh ngang với các mạng botnet khai thác tiền điện tử đình đám gần đây như TeamTNT và Rocke. Hai mạng botnet này vừa được bổ sung thêm hàng loạt tính năng cho phép chúng trích xuất thông tin đăng nhập hệ thống AWS và Docker từ các máy chủ bị lây nhiễm.

Tuy nhiên, nhóm Unit42 cảnh báo rằng WatchDog đang phát triển nhanh chóng cả về quy mô lẫn mức độ nguy hiểm. Nếu không có các biệt pháp can thiệp kịp thời, việc mạng botnet này trở thành một thế lực mới chỉ là vấn đề thời gian.

Trên các máy chủ bị nhiễm, WatchDog thường chạy với đặc quyền của quản trị viên và có thể thực thi cả quá trình quét và kết xuất thông tin xác thực mà không gặp bất kỳ khó khăn nào.

Để bảo vệ hệ thống trước mối đe dọa mới này, lời khuyên duy nhất dành cho các nhà quản trị CNTT là hãy cập nhật hệ thống và ứng dụng của mình thường xuyên. Điều này sẽ giúp ngăn ngừa từ sớm các cuộc tấn công nhắm đến những lỗ hổng cũ tồn tại trong hệ thống.