Tin tức
Công ty Trung Quốc thừa nhận gây ra vụ tấn công DDoS khiến nửa nước Mỹ mất internet
24/10/2016
Một nhà sản xuất linh kiện điện tử Trung Quốc cho biết các sản phẩm của hãng đã vô tình đóng vai trò quan trọng trong vụ tấn công mạng quy mô lớn khiến rất nhiều trang web lớn của Mỹ bị sập vào ngày thứ 6 vừa rồi (21/10).

Công ty Công nghệ Xiongmai Hàng Châu, một nhà bán lẻ DVR và các camera kết nối internet, ngày chủ nhật vừa rồi (23/10) đã lên tiếng xác nhận một số lỗ hổng an ninh liên quan đến những mật khẩu yếu trong các sản phẩm của hãng là một phần nguyên nhân gây ra vụ tấn công DDoS vừa rồi.
Theo các nhà nghiên cứu an ninh, một malware (mã độc) với tên gọi Mirai đã lợi dụng những lỗ hổng này và sử dụng những thiết bị bị nhiễm để tung ra những cuộc tấn công từ chối dịch vụ quy mô lớn khiến rất nhiều trang web bị sập hôm thứ 6 vừa rồi.
“Mirai là một thảm họa lớn đối với Internet of Things”, công ty Xiongmai viết trong một bức email gửi tới hãng tin IDG News Service. “Chúng tôi thừa nhận rằng các sản phẩm của chúng tôi đã bi hacker đột nhập và sử dụng trái phép”.
Mirai hoạt động bằng cách lợi dụng các thiết bi IoT để tạo ra một mạng kết nối quy mô lớn. Những thiết bị này sau đó được sử dụng để làm “ngập lụt” các website với rất nhiều lệnh, khiến các trang bị quá tải và dẫn đến sập.
Bởi những thiết bị này đều sử dụng những mật khẩu yếu và dễ bị nhiễm mã độc, vì thế Mirai đã có thể tấn công vào 500.000 thiết bị, theo một nhà cung cấp hạ tầng internet Level 3 Communucations.
Xiongmai cho biết công ty đã vá các lỗi trong sản phẩm của mình từ tháng 9/2015 và hãng hiện đã yêu cầu khách hàng đổi mật khẩu mặc định khi sử dụng lần đầu. Thế nhưng các sản phẩm chạy các phiên bản firmware cũ hơn vẫn dễ bị tấn công. Để ngăn malware Mirai, Xiongmai khuyến cáo người sử dụng cập nhật firmware sản phẩm và thay đổi tên cũng như mật khẩu. Các khách hàng cũng có thể ngắt kết nối internet của sản phẩm.
Các mạng Bonet được tạo ra do malware Mirai đóng góp một phần vào vụ tấn công DDoS quy mô lớn diễn ra hôm thứ 6 vừa rồi, theo Dyn, nhà cung cấp dịch vụ DNS bị nhắm tới trong vụ tấn công này. (Botnet là các mạng máy tính được tạo lập từ các máy tính mà hacker có thể điều khiển từ xa. Các máy tính trong mạng botnet là máy đã bị nhiễm malware và bị hacker điều khiển. Một mạng botnet có thể có tới hàng trăm ngàn, thậm chí là hàng triệu máy tính).
“Chúng tôi đã quan sát hơn 10 triệu địa chỉ IP riêng biệt liên quan đến mạng bonet sử dụng mã độc Mirai và là một phần của cuộc tấn công”, theo một tuyên bố của Dyn. Cuộc tấn công DDoS hôm thứ 6 vừa rồi đã khiến nhiều dịch vụ như Twitterm Spotify, Paypal... bị chậm hoặc thậm chí là không thể truy cập.

Những khu vực chịu ảnh hưởng của cuộc tấn công DDoS hôm thứ 6 vừa rồi
Mặc dù Dyn đã ngăn chặn cuộc tấn công và khôi phục lại khả năng truy cập các dịch vụ, nhưng các mạng bonet sử dụng mã độc Mirai vẫn có thể dễ dàng tấn công lần nữa. Đầu tháng nay, một nhà phát triển malware Mirai không rõ danh tính đã tung mã nguồn của malware này ra cộng động hacker. Các công ty an ninh đã phát hiện ra nhiều hacker khác cũng sử dụng lại các mã nguồn này.
Mã độc Mirai cũng từng tấn công vào các sản phẩm của những nhà bán lẻ IoT khác sử dụng các mật khẩu mặc định yếu. Các chuyên gia an ninh cũng phát hiện ra malware này đã thử sử một danh sách với 60 mật khẩu và tên người sử dụng khác nhau với.
Tháng trước, một mạng botnet do mã độc Mirai đứng sau đã hạ gục website của phóng viên an ninh mạng Brian Krebs, bằng cách gửi lượng traffic lên tới 665 Gpbs và khiến đây trở thành một trong những cuộc tấn công DDoS lớn nhất trong lịch sử.
Hiểu kỹ hơn về vụ tấn công DDOS cực lớn, khiến một nửa nước Mỹ mất internet
Người dùng cũng như các công ty lại có rất ít lựa chọn để chống lại các cuộc tấn công như thế này.
Internet trên một nửa nước Mỹ đã bị mất khi các hacker tung ra một cuộc tấn công từ chối dịch vụ trên quy mô lớn (DDoS) nhằm vào các máy chủ của Dyn, một nhà cung cấp DNS chủ yếu. Hiện vẫn chưa rõ ai là người thực hiện cuộc tấn công này và tại sao, nhưng sự việc xảy ra cho thấy những trang web lớn có thể bị xóa sổ dễ dàng như thế nào trước các hacker.
Dyn sau đó đã phát đi tuyên bố của mình về sự cố mất Internet này:
“Từ lúc 11h10 (theo giờ UTC, tương đương 18h 10 phút ở Việt Nam) ngày 21 tháng Mười năm 2016, chúng tôi bắt đầu theo dõi và hạn chế một cuộc tấn công DDoS nhằm vào cơ sở hạ tầng DNS của chúng tôi. Một số khách hàng có thể sẽ gặp phải tình trạng độ trễ gia tăng khi truy vấn DNS, và đường truyền trong vùng bị chậm lại trong thời gian này. Chúng tôi sẽ đăng tải các cập nhật tình hình khi thông tin trở nên rõ ràng hơn.”

Thật khủng khiếp khi biết rằng các trang web quan trọng như Twitter, Spotify, Reddit, WIRED và PayPal có thể bị mất truy cập trong chốc lát. Cho đến nay, vẫn chưa rõ phương pháp mà các hacker sử dụng – ngoại trừ chi tiết rằng đây là một cuộc tấn công DDoS – nhưng rõ ràng việc hiểu được DNS là gì và tại sao nó lại có thể ảnh hưởng đến cách Internet hoạt động là rất quan trọng với mọi người dùng.
DNS là công nghệ gì?
DNS – hay máy chủ tên miền (Domain Name Server) – hoạt động như một cuốn sổ của Internet và chuyển những truy vấn đến các trang web cụ thể. Chúng giúp đảm bảo bạn sẽ đến được đúng trang web mà bạn gõ vào trình duyệt. Do vậy, các hacker khi tấn công vào các nhà cung cấp DNS sẽ chặn việc truy cập đến các trang web mà nhà cung cấp này phục vụ. Trong đợt tấn công vừa qua, điều đó đã xảy đến với Twitter, Reddit, PayPal và một số trang web khác.

Đó chỉ là các tổng quan cơ bản về DNS. Nhưng nếu bạn muốn hiểu sâu hơn nữa DNS, bạn phải dõi theo trình tự hoạt động của công nghệ này. Một người dùng Internet điển hình bắt đầu tại một trong nhiều máy tính giữa một mạng lưới rộng lớn, được kết nối với nhau thông qua các đường cáp Internet. Mỗi nút riêng lẻ trong các mạng lưới này giao tiếp với nhau bằng cách chỉ dẫn cho nhau các chữ số, còn được gọi là các địa chỉ IP. DNS được sử dụng để dịch một truy vấn (ví dụ một đường URL) thành một địa chỉ IP.
Khi bạn nhập vào một URL – ví dụ Gizmodo.com – trình duyệt của bạn bắt đầu tìm ra xem trang web đó đang ở đâu, bằng cách ping đến hàng loạt các máy chủ. Phạm vi bài viết này khó có thể mô tả chi tiết toàn bộ chuỗi quy trình buồn tẻ đó, nhưng bạn có thể hiểu chúng là các máy chủ phân giải tên miền, các máy chủ tên miền có thẩm quyền, và những nhà đăng ký tên miền và tương tự như vậy.
Cả hệ thống được cấu hình chính xác để đưa bạn đi từ thanh địa chỉ trên trình duyệt đến đúng trang web một cách liền mạch. Cả quá trình đều rất phức tạp, nhưng có lẽ phần phức tạp nhất trong số đó là tất cả xảy ra gần như cùng lúc. Bất khi khi nào bạn duyệt web, mở ra hàng chục tab và truy vấn hàng tá các trang web khác nhau, máy tính của bạn sẽ ping đến các máy chủ trên khắp thế giới để đưa bạn những thông tin đúng. Và nó sẽ tiếp tục như vậy cho đến khi nó bị tấn công.
Hệ thống này đổ vỡ như thế nào?
Một cuộc tấn công DDoS là phương pháp hack phổ biến được dùng để tấn công một hệ thống đơn lẻ, bằng cách làm nó quá tải bởi các truy vấn máy chủ đến từ hàng loạt máy tính bị tổn thương. Trong một cuộc tấn công DDoS, các hacker thường sẽ sử dụng các máy tính bị nhiễm mã độc để tạo ra một trận lụt về lưu lượng truy cập có xuất xứ từ nhiều nguồn khác nhau, có thể lên đến hàng ngàn hoặc hàng trăm ngàn.
Bằng cách sử dụng toàn bộ các máy tính bị nhiễm mã độc, một hacker có thể phá vỡ một cách hiệu quả bất kỳ biện pháp ngăn chặn nào được đặt trên một địa chỉ IP duy nhất. Phương pháp này cũng làm cho khó xác định đâu là một truy vấn hợp lệ so với một truy vấn đến từ kẻ tấn công.

Trong cuộc tấn công hôm qua, các hacker đã hạ gục các máy chủ của Dyn, một nhà cung cấp DNS phổ biến, đang quản lý các trang web như Basecamp, CNN, Etsy, GitHub, HBO Now, Imgur, PayPal, PlayStation Network, Reddit, Squarespace và Twitter.
Khi các máy chủ của Dyn bị hạ gục, về cơ bản các trình duyệt sẽ không hình dung được nơi cần đến để tìm thông tin về nạp vào màn hình. Loại tấn công này thường xảy ra mỗi khi các hacker tạo ra được một đội quân nhỏ các máy tính cá nhân bị nhiễm phần mềm độc hại, lúc này các máy tính đó sẽ làm thành một Botnet. Lúc này, mọi người sẽ tham gia vào cuộc tấn công mà không nhận ra rằng máy tính của mình đã bị tổn thương, và trở thành một phần trong đạo quân zombie của những kẻ tấn công.
Vào năm 2014, một nhóm hacker có tên Lizard Squad đã sử dụng phương pháp này để làm sập trang PlayStation Network và Xbox Live. Vào năm 2015, một virus trojan có tên gọi XOR DDoS đã giúp những kẻ tấn công tạo ra một mạng botnet mạnh mẽ, có khả năng đánh sập bất kỳ máy chủ hay trang web nào.
Bảo vệ các máy chủ trước các cuộc tấn công DDoS có thể rất khó khăn, nhưng có một số cách để ngăn chặn việc mất truy cập. Theo Network World, một trong những biện pháp phổ biến nhất là lấy mẫu luồng truy cập, trong đó hệ thống lấy mẫu các gói tin và xác định xu hướng của lưu lượng mạng. Một thiết bị phân tích luồng sẽ đánh giá các dòng lưu lượng và xác định lưu lượng có nguy cơ.

Làm thế nào chúng ta có thể tự bảo vệ?
Nếu nhìn xa hơn nữa, vẫn còn một câu hỏi lớn hơn. Làm thế nào chúng ta có thể tránh các cuộc tấn công, làm hàng triệu người dùng Internet không thể truy cập vào các trang web, và làm các công ty mất hàng triệu USD doanh thu?
Câu trả lời là rất khó để làm như vậy. Mỗi khi các công ty bảo mật tìm ra cách mới để bảo vệ các công ty như Dyn, những hacker lại tìm ra cách mới để tấn công họ. Tuy nhiên, trong trường hợp tấn công vào hạ tầng DNS, cách tốt nhất để một website tránh bị hạ gục bởi một cuộc tấn công nhắm vào máy chủ host khá đơn giản: Đó là đăng ký trên nhiều máy chủ host khác nhau. Đây được gọi là các DNS dự phòng, và nó có thể là lý do tại sao một số trang web, nư Pornhub, lại sống sót qua cuộc tấn công mà không bị tổn thương nào.
Trong trường hợp, các máy chủ của Dyn, vẫn chưa rõ làm thế nào họ có thể giải quyết vấn đề, nhưng công ty cho biết họ đã xử lý được– chỉ khoảng một giờ sau khi các vấn đề bắt đầu xảy đến.
Theo Trí thức trẻ
 
Ý kiến bạn đọc