Nội dung
Các nhà nghiên cứu bảo mật đã phát hiện ra một chiến dịch botnet tinh vi đang tấn công brute-force trên hơn 1,5 triệu máy chủ Windows RDP có thể truy cập công khai trên Internet.
Brute-force là cách thức thử tất cả các khả năng có thể để đoán các thông tin cá nhân đăng nhập: tài khoản, mật khẩu, số thẻ tín dụng…
Phát hiện brute-force botnet mới cực kỳ nguy hiểm
Mang tên GoldBrute, quy trình botnet được thiết kế leo thang dần dần thông qua cách thức thêm từng hệ thống bị bẻ khóa mới vào mạng của nó, từ đó buộc các hệ thống này phải tìm thêm các máy chủ RDP mới có sẵn và sau đó tiến hành các cuộc tấn công brute-force.
Để “qua mắt” các công cụ bảo mật và các nhà phân tích malware,những kẻ tấn công đứng đằng sau chiến dịch này đã lệnh cho mỗi máy bị nhiễm nhắmmục tiêu vào hàng triệu máy chủ với một tập hợp tên người dùng và mật khẩu duynhất, do đó một máy chủ được nhắm mục tiêu sẽ nhận được các nỗ lực brute-forcetừ các địa chỉ IP khác nhau.
Cách thức hoạt động của cuộc tấn công brute-force
Renato Marinho tại Morphus Labs đã phát hiện ra chiến dịch như được mô tả trong hình ảnh minh họa. Đồng thời, cách thức hoạt động (modus operandi) của nó đã được giải thích trong các bước sau:
Bước 1 – Sau khi brute-force thành công một máy chủ RDP, các hacker sẽ cài đặt phần mềm độc hại botnet GoldBrute dựa trên JAVA trên các thiết bị.
Bước 2 – Để kiểm soát các máy bị nhiễm, các hacker sử dụng máy chủ chỉ huy và kiểm soát tập trung (centralized command-and-control server), cố định để trao đổi các lệnh và dữ liệu qua kết nối WebSocket được mã hóa AES.
Bước 3 và 4 – Mỗi máy bị nhiễm sau đó nhận nhiệm vụ đầu tiên là quét và báo cáo lại danh sách ít nhất 80 máy chủ RDP mới có thể truy cập và thực hiện brute-force.
Bước 5 và 6 – Các hacker sau đó gán cho mỗi máy bị nhiễm với một nhóm kết hợp tên người dùng và mật khẩu duy nhất như là nhiệm vụ thứ hai để buộc các thiết bị phải cố gắng chống lại danh sách các mục tiêu RDP mà hệ thống bị nhiễm liên tục nhận được từ máy chủ C