Tin tặc khai thác lỗ hổng zero-day trên router Huawei để phát tán biến thể botnet Mirai
Theo ghi nhận, tin tặc đã thực hiện hàng ngàn cuộc tấn công để khai thác lỗ hổng này. Đặc biệt, tại các nước Hoa Kỳ, Ý, Đức và Ai Cập. Cụ thể, loại mã độc được dùng trong các cuộc tấn công này là Satori - một biến thể mới của botnet Mirai.
Các nhà nghiên cứu đã nhận được những cảnh báo an ninh từ các sensor và honeypot, ghi nhận các cuộc tấn công khai thác một lỗ hổng chưa được xác định trong bộ định tuyến HG532. Mục tiêu của tin tặc là tạo ra một phiên bản cập nhật của botnet Mirai.
Huawei áp dụng giao thức UPnP (Universal Plug and Play) thông qua chuẩn TR-064 để đơn giản hóa việc tích hợp bộ định tuyến Home Gateway dành cho gia đình và doanh nghiệp nhỏ. Bằng việc khai thác lỗi trong chuẩn TR-064 qua cổng 37215 để tiêm nhiễm các shell meta-characters vào dịch vụ nâng cấp thiết bị. Từ đó, cho phép kẻ tấn công từ xa có thể thực thi lệnh tùy ý trên thiết bị. Trong trường hợp này, tin tặc đã tải và thực thi satori.
Đứng sau những vụ tấn công này được xác định là một kẻ tấn công với biệt danh Nexus Zeta - thành viên của HackForums từ năm 2015, hoạt động sôi nổi trên Twitter, GitHub và các dự án botnet của IoT. Các nhà nghiên cứu cũng phát hiện ra một tài khoản Skype và SoundCloud liên kết với tin tặc đã được đăng ký dưới tên Caleb Wilson. Tuy nhiên, chưa thể xác định được đây thực sự có phải là tên thật của Nexus Zeta hay không.
Huwei đã thừa nhận lỗ hổng này và đưa ra thông báo đến người dùng nhằm ngăn chặn việc khai thác.
Thảo Uyên
Theo DarkReading