Trojan Linux sử dụng các thiết bị IoT bị hack để gửi thư rác
Trojan được gọi là Linux.ProxyM, là botnet giống như mã độc Mirai, có khả năng lây nhiễm các thiết bị Internet of things (IoT) được các tội phạm mạng sử dụng để đảm bảo ẩn danh trực tuyến nhằm mục đích gửi thư rác để kiếm tiền.
Linux.ProxyM được công ty Doctor Web phát hiện vào tháng 2/2017, chạy một máy chủ proxy SOCKS trên thiết bị IoT bị lây nhiễm và có khả năng phát hiện hệ thống tài nguyên thông tin (honeypots) để tránh các nhà nghiên cứu phần mềm độc hại.
Linux.ProxyM có thể hoạt động trên hầu hết các thiết bị Linux, bao gồm các bộ định tuyến, hộp thiết bị giải mã tín hiệu truyền hình (set-top) và các thiết bị khác có các kiến trúc như: x86, MIPS, PowerPC, MIPSEL, ARM, Motorola 68000, Superh và SPARC.
Sau khi bị nhiễm Linux.ProxyM, thiết bị sẽ kết nối với một máy chủ C&C và tải các địa chỉ trên Internet để cung cấp một danh sách các đăng nhập và mật khẩu cần thiết cho máy chủ proxy SOCKS hoạt động.
Máy chủ C&C cũng gửi một lệnh có chứa địa chỉ máy chủ giao thức truyền tải thư điện tử (Simple Mail Transfer Protocol-SMTP), các thông tin được sử dụng để truy cập danh sách các địa chỉ thư điện tử và một mẫu tin nhắn chứa quảng cáo cho các trang web khác nhau. Trung bình mỗi thiết bị bị nhiễm sẽ gửi 400 email như vậy mỗi ngày.
Mặc dù tổng số thiết bị bị nhiễm Trojan này vẫn chưa được biết đến, nhưng các nhà phân tích của Doctor Web tin rằng con số này đã thay đổi qua nhiều tháng.
Phần lớn các thiết bị bị nhiễm trojan được đặt ở Braxin và Mỹ, sau đó là Nga, Ấn Độ, Mexico, Ý, Thổ Nhĩ Kỳ, Ba Lan, Pháp và Argentina.
Để bảo vệ thiết bị thông minh khỏi bị tấn công, người dùng cần một thiết bị để bảo vệ toàn bộ mạng gia đình của bạn và các thiết bị được kết nối. Các chuyên gia an ninh mạng khuyến cáo người dùng một số cách đơn giản để bảo vệ thiết bị IoT như sau:
1. Thay đổi mật khẩu mặc định: Nếu người dùng có thiết bị kết nối Internet nên thay đổi mật khẩu theo định kỳ.
2. Tắt giao thức mạng Universal Plug and Play (UPnP): UPnP được kích hoạt mặc định trên mọi thiết bị kết nối Internet, tạo ra lỗ hổng trong bảo mật router của người dùng có thể cho phép phần mềm độc hại xâm nhập bất kỳ phần nào trên mạng cục bộ của người dùng. Vì vậy, người dùng cần kiểm tra để tắt tính năng “Universal Plug and Play”.
3. Vô hiệu hoá quản lý từ xa thông qua Telnet: Vào cài đặt router của người dùng và vô hiệu hóa Remote Management Protocol, đặc biệt thông qua Telnet, bởi vì giao thức này được sử dụng để cho phép một máy tính điều khiển một từ xa. Nó cũng đã được sử dụng trong các cuộc tấn công Mirai trước.
4. Kiểm tra cập nhật phần mềm và các bản vá lỗ hổng: luôn giữ các thiết bị kết nối Internet và bộ định tuyến của người dùng cập nhật với phần mềm cơ sở mới nhất của nhà cung cấp.
Hồng Loan
(tổng hợp theo The Hacker News)