Mỹ triệt phá 4 mạng máy tính ma lây nhiễm hơn 3 triệu thiết bị, tấn công cả website Bộ Quốc phòng

4 botnet lớn gồm Aisuru, KimWolf, JackSkid và Mossad đã được sử dụng để phát động những cuộc tấn công từ chối dịch vụ phân tán (DDoS), với một số trang web của Bộ Quốc phòng Mỹ cũng bị nhắm mục tiêu, Bộ Tư pháp cho biết.

Phần lớn thiết bị bị lây nhiễm thuộc nhóm Internet vạn vật (IoT), như webcam, đầu ghi video kỹ thuật số hoặc bộ định tuyến Wi-Fi. Những kẻ vận hành botnet đã thực hiện hàng trăm nghìn cuộc tấn công từ chối dịch vụ phân tán (DDoS), nhắm vào máy tính và máy chủ trên khắp thế giới, gồm cả các địa chỉ IP thuộc Mạng Thông tin của Bộ Quốc phòng Mỹ. Trong một số trường hợp, chúng đã yêu cầu các nạn nhân của mình trả tiền.

“Việc triệt phá 4 botnet mạnh mẽ ngày hôm nay nhấn mạnh cam kết của chúng tôi trong việc loại bỏ các mối đe dọa mạng mới nổi với Bộ Quốc phòng và các lực lượng của họ”, Kenneth DeChellis, đặc vụ phụ trách tại Cơ quan Điều tra Bộ Quốc phòng Mỹ, cho hay.

Chiến dịch được tiến hành đồng thời tại Mỹ, Đức và Canada, nhắm vào các cá nhân đứng sau 4 botnet, Bộ Tư pháp Mỹ tiết lộ.

Thông cáo liệt kê gần 24 hãng công nghệ lớn đã hỗ trợ chiến dịch, gồm cả Amazon Web Services, Google, PayPal và Nokia, cùng nhóm PowerOff của Europol (cơ quan thực thi pháp luật Liên minh châu Âu).

PowerOff đã tiến hành chiến dịch chống lại tội phạm mạng tập trung vào các cuộc tấn công DDoS từ năm 2017.

Aisuru, KimWolf, JackSkid và Mossad thực chất là những biến thể phát triển từ dòng phần mềm độc hại Mirai - Ảnh: SV

Botnet (mạng máy tính ma) là mạng lưới gồm nhiều thiết bị kết nối internet như máy tính, smartphone, hoặc thiết bị IoT đã bị nhiễm phần mềm độc hại và hacker kiểm soát từ xa mà chủ sở hữu không hề hay biết.

Hiểu đơn giản, mỗi thiết bị bị nhiễm trong mạng này giống một robot hoặc zombie, âm thầm nhận lệnh từ kẻ điều khiển (gọi là botmaster). Khi có lệnh, hàng nghìn hoặc thậm chí hàng triệu thiết bị sẽ cùng lúc thực hiện một hành động, chẳng hạn gửi lượng truy cập khổng lồ đến một website để làm sập hệ thống (tấn công DDoS), phát tán thư rác hoặc đánh cắp dữ liệu.

Điểm nguy hiểm của botnet là các thiết bị bị kiểm soát vẫn hoạt động bình thường, nên người dùng gần như không nhận ra mình đang bị lợi dụng. Vì vậy, botnet được ví như một “đội quân ngầm” trên internet, có thể được huy động bất cứ lúc nào để phục vụ các hoạt động tấn công mạng quy mô lớn.

Một số chiến dịch DDoS tới hơn 30 Tb/giây

4 botnet Aisuru, KimWolf, JackSkid và Mossad thực chất là những biến thể phát triển từ dòng Mirai - loại phần mềm độc hại chuyên nhắm vào các thiết bị IoT. Những thiết bị này thường có cấu hình yếu, ít được cập nhật và sử dụng mật khẩu mặc định, khiến chúng trở thành mục tiêu dễ dàng cho hacker xâm nhập và chiếm quyền điều khiển từ xa. Sau khi bị kiểm soát, các thiết bị này vẫn hoạt động bình thường nên người dùng gần như không nhận ra, nhưng thực chất đã trở thành một phần của mạng lưới tấn công quy mô lớn.

Theo các cơ quan chức năng, tổng cộng hơn 3 triệu thiết bị trên toàn cầu đã bị biến thành zombie, phần lớn nằm trong các hộ gia đình hoặc doanh nghiệp nhỏ. Quy mô phân tán này khiến botnet đặc biệt nguy hiểm, bởi lưu lượng tấn công không đến từ một nguồn duy nhất mà từ hàng triệu thiết bị khác nhau, gây khó khăn lớn cho việc phát hiện và ngăn chặn.

Không chỉ lớn về quy mô, 4 botnet này còn có sức tấn công cực mạnh. Một số chiến dịch DDoS do chúng thực hiện đạt mức tới hơn 30 terabit/giây (Tb/giây), tương đương hàng triệu luồng dữ liệu cùng lúc đổ vào hệ thống mục tiêu. Đây là mức lưu lượng được giới chuyên gia đánh giá có thể làm tê liệt hạ tầng internet của các tổ chức lớn, thậm chí gây gián đoạn trên diện rộng.

Thực tế, botnet Aisuru/KimWolf từng tạo ra cuộc tấn công đạt đỉnh khoảng 31,4 Tb/s, được xem là lớn nhất từng được công bố, với lưu lượng tương đương hàng triệu luồng video 4K phát cùng lúc.

Bên cạnh cường độ, tần suất tấn công cũng ở mức đáng báo động. Riêng Aisuru đã thực hiện hơn 200.000 lệnh tấn công, trong khi JackSkid và KimWolf lần lượt là 90.000 và hơn 25.000. Điều này cho thấy các botnet không còn hoạt động đơn lẻ mà đã trở thành một “hệ sinh thái tội phạm mạng”, nơi các công cụ tấn công được vận hành liên tục, thậm chí có thể cho thuê như một dịch vụ.

Giới chuyên gia an ninh mạng nhận định sự phát triển của các botnet này phản ánh xu hướng đáng lo ngại: Tấn công mạng đang chuyển sang quy mô công nghiệp, tận dụng số lượng lớn thiết bị IoT giá rẻ trên toàn cầu. Khi số lượng thiết bị kết nối internet ngày càng tăng nhanh nhưng thiếu tiêu chuẩn bảo mật đồng bộ, nguy cơ các botnet tương tự tiếp tục xuất hiện và mở rộng là rất lớn, ngay cả khi những mạng hiện tại bị triệt phá.

Sơn Vân