Camera giám sát có thể biến thành siêu vũ khí của tin tặc

ANTD.VN - Cuối tuần trước, tin tặc đã đánh sập internet nhiều nơi, đặc biệt là vùng Bờ Đông nước Mỹ, bằng phương thức đã có từ 20 năm trước mang tên “DNS DDoS” - tấn công từ chối dịch vụ. Thay vì tấn công vào các máy tính bị nhiễm virus, các tin tặc sử dụng “vũ khí” là những thiết bị camera giám sát. Đây được xem là vũ khí vô cùng lợi hại của bọn tin tặc.

Tại sao lại là camera giám sát?

Cuộc cách mạng IoT (Internet of things - mọi thiết bị đều kết nối internet) đang nở rộ, khiến cho nhiều thiết bị điện tử, đồ gia dụng từ xe hơi, máy nướng bánh, máy pha cà phê, robot cho tới camera giám sát cũng đều có thể kết nối internet. Nhờ công nghệ này, mọi việc trở nên vô cùng tiện lợi, bạn có thể ra lệnh cho chúng hoạt động bất cứ khi nào bạn muốn.

Xu hướng dùng thiết bị kết nối internet cũng có mặt trái của nó. Các đồ vật này khá rẻ tiền và dễ sử dụng. Tuy nhiên, với các hacker, chúng không phải là mục tiêu tấn công như những chiếc máy tính nhưng lại có yếu tố để tin tặc dễ xâm nhập, đó là “mật khẩu mặc định”.

Đây là những mật khẩu mang tính “hỗ trợ” mà người bán hàng bí mật cài đặt vào thiết bị vì nhiều lý do. Tuy họ nghĩ việc này là thông minh và bí mật nhưng tin tặc lại tìm thấy chúng hết sức dễ dàng. 

Thật may là các thiết bị cài đặt ở nhà bạn đều đứng sau bức tường lửa để ngăn chặn tin tặc tấn công. Tường lửa là thiết bị an ninh phổ biến chỉ cho phép thông tin hướng ra ngoài, ngăn chặn hầu hết thông tin hướng vào trong. Tuy vậy, hầu hết các camera an ninh do điều khiển từ xa nên không có tường lửa bảo vệ. Đó là lý do tại sao trong các cuộc tấn công hôm 21-10, hầu hết các thiết bị bị tin tặc tấn công là camera an ninh.

Có người cho rằng sẽ rất khó để có thể tìm thấy những thiết bị như vậy trên internet. Ví dụ, một ngôi làng xa xôi ở Mông Cổ sẽ có camera an ninh được kết nối  với tín hiệu vệ tinh. Làm sao tin tặc có thể tìm được?

Câu trả lời là: chúng có thể tìm ra 100%. Mỗi thiết bị gắn với một địa chỉ Internet. Những kẻ tin tặc có thể mất vài giờ để tìm ra đối tượng nhờ vào phần mềm Masscan. Đó là phần mềm xem xét tất cả các địa chỉ internet trên thế giới trong vòng 6 giờ để tìm ra các thiết bị nối mạng.

Trong vụ tấn công cuối tuần trước, tin tặc dùng mã độc có tên Mirai. Trang blog ThreatPost báo cáo 550.000 thiết bị đã bị nhiễm Mirai và 10% trong số này đã được dùng trong vụ tấn công. Mirai quét internet và khi tìm thấy mục tiêu nó sẽ cố gắng xâm nhập bằng nhiều “mật khẩu mặc định” phổ biến. Khi tìm thấy và làm nhiễm một thiết bị mới, nó sẽ báo cho tin tặc kiểm soát thiết bị. Lệnh phổ biến với các thiết bị đã được kiểm soát này chính là tấn công từ chối dịch vụ.

Vấn đề cần được nghiêm túc xử lý

Tin tặc đứng sau Mirai đã xây dựng một mạng lưới các máy tính tấn công được gọi là “botnet” trước đó vài tháng. Botnet này sẽ đồng loạt tấn công vào máy chủ của các hệ thống tên miền.

Cuối tuần vừa qua, botnet đã nhằm vào một nạn nhân là nhà cung cấp hệ thống tên miền DNS lớn có tên Dyn.com và đã gây ra tác động lớn trên internet. Bất kỳ ai phụ thuộc vào hệ thống tên miền này sẽ không thể truy cập thông tin, không có cơ hội để kháng cự. 

Điều đáng sợ nhất của cuộc tấn công cuối tuần qua là tin tặc không hề dùng kỹ thuật đặc biệt nào, ai cũng có thể dùng Masscan hay Shodan để tìm ra các hệ thống sơ hở, ai cũng có thể cho các hệ thống tên miền lây nhiễm Mirai và điều khiển chúng từ xa.

Tội phạm có thể lợi dụng điều này để bán botnet với giá rẻ, vì thế kẻ xấu có thể bỏ tiền mua lại để tấn công vào mục tiêu mong muốn. Ở mức độ nghiêm trọng hơn, tin tặc có thể khiến cho các công ty lớn, thậm chí cả quốc gia tạm ngừng hoạt động vì mất kết nối Internet.

Khi các nhóm nhỏ đủ sức làm đảo lộn nơi phụ thuộc của nhiều tổ chức quan trọng là internet thì tình hình trở nên bất ổn, sự an toàn không còn được đảm bảo. Các chính phủ và ngành công nghệ cần có các hành động nghiêm túc để ngăn chặn vấn đề này.