Nhật thực Bí ngô

 (blog.lumen.com)
1 điểm bởi GN⁺ 2024-06-01 | 1 bình luận | Chia sẻ qua WhatsApp

Tóm tắt báo cáo của Black Lotus Labs

Tổng quan sự việc

  • Thời điểm xảy ra: Trong 72 giờ từ ngày 25 đến 27 tháng 10 năm 2023, hơn 600.000 bộ định tuyến văn phòng nhỏ/gia đình (SOHO) thuộc một nhà cung cấp dịch vụ Internet (ISP) đã bị ngoại tuyến.
  • Ảnh hưởng: Các thiết bị bị nhiễm đã trở nên hỏng hoàn toàn vĩnh viễn và cần thay thế phần cứng.
  • Nguyên nhân chính: Trojan truy cập từ xa (RAT) có tên "Chalubo" được xác định là nguyên nhân chủ yếu.

Trojan Chalubo

  • Được phát hiện lần đầu: Lần đầu được phát hiện vào năm 2018.
  • Đặc điểm:
    • Xóa mọi tệp khỏi đĩa và chạy trong bộ nhớ.
    • Sử dụng tên tiến trình ngẫu nhiên đã tồn tại sẵn trên thiết bị.
    • Mã hóa mọi liên lạc với máy chủ điều khiển và chỉ huy (C2).
  • Chức năng: Có thể thực hiện tấn công DDoS và chạy script Lua.

Quá trình lây nhiễm

  • Truy cập ban đầu: Nhiều khả năng đã khai thác thông tin xác thực yếu hoặc giao diện quản trị bị lộ.
  • Các giai đoạn lây nhiễm:
    • Giai đoạn đầu: Truy cập máy chủ payload ban đầu thông qua script bash "get_scrpc".
    • Giai đoạn hai: Tải xuống và thực thi thêm script cùng payload.
    • Các tệp chính: /usr/bin/usb2rci, /tmp/.adiisu, /tmp/crrs v.v.

Tình hình lây nhiễm toàn cầu

  • Mức độ hoạt động: Từ tháng 11 năm 2023 đến đầu năm 2024, malware Chalubo hoạt động rất mạnh.
  • Địa chỉ IP bị nhiễm: Tính đến ngày 30 tháng 10 năm 2023, hơn 330.000 địa chỉ IP duy nhất đã bị nhiễm.

Kết luận

  • Điểm đặc biệt: Cuộc tấn công lần này chỉ giới hạn trong một ASN cụ thể, nhưng đã ảnh hưởng đến hơn 600.000 thiết bị.
  • Mục đích tấn công: Biến thiết bị thành trạng thái không thể hoạt động thông qua một bản cập nhật firmware có chủ đích.
  • Khuyến nghị bảo mật:
    • Tổ chức quản lý bộ định tuyến SOHO: Không sử dụng mật khẩu mặc định, tăng cường bảo mật cho giao diện quản trị.
    • Người dùng phổ thông: Khởi động lại bộ định tuyến định kỳ và cài đặt các bản cập nhật bảo mật.

Ý kiến của GN⁺

  • Điểm đáng chú ý: Vụ việc này chỉ giới hạn ở một ISP duy nhất và rất bất thường ở chỗ đã cần thay thế phần cứng trên quy mô lớn.
  • Sự cần thiết của việc tăng cường bảo mật: Cần khẩn cấp tăng cường bảo mật cho bộ định tuyến SOHO và thiết bị IoT.
  • Bài học kỹ thuật: Kỹ thuật né tránh phát hiện đang tiến hóa, như việc malware chỉ chạy trong bộ nhớ và mã hóa liên lạc.
  • Giải pháp thay thế: Cần xem xét các giải pháp hoặc dự án bảo mật khác cung cấp chức năng tương tự.
  • Những điểm cần cân nhắc khi triển khai: Khi áp dụng công nghệ bảo mật mới, cần xem xét khả năng tương thích với hệ thống hiện có và mức độ dễ quản lý.

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-06-01
Ý kiến Hacker News
  • Vấn đề firmware: Mơ về việc chặn đường ghi của chip flash và lên lịch khởi động lại hằng ngày để khắc phục sự cố do vấn đề firmware gây ra.
  • Kinh nghiệm với bộ thu vệ tinh: Cũng như với bộ thu vệ tinh cách đây 20 năm, mọi thiết bị kết nối Internet đều nên được xem là dễ tổn thương trước các biện pháp điện tử.
  • Giám sát cập nhật: Cần một hệ thống theo dõi các bản cập nhật thiết bị và gửi cảnh báo khi có cập nhật xảy ra.
  • Thiếu nội dung trong bài báo: Bài báo thiếu những chi tiết thú vị. Tò mò không biết router có các cổng và dịch vụ mở theo mặc định hay không.
  • So sánh firmware: Thắc mắc liệu có thể so sánh các phiên bản firmware khác nhau hay không.
  • Sử dụng OpenWrt: Có vẻ như đa số mọi người đang dùng OpenWrt và SDK của nhà cung cấp.
  • Nghi ngờ cập nhật độc hại: Nghi ngờ nhà cung cấp đã gửi một bản cập nhật độc hại hoặc bị hỏng.
  • Thiếu tuyên bố chính thức từ ISP: Thắc mắc vì sao không có tuyên bố chính thức từ ISP. Nếu là một cuộc tấn công thì cần phải điều tra.
  • Cách xử lý ở Mỹ: Thắc mắc những vấn đề như thế này được xử lý ra sao ở Mỹ.
  • Khả năng nhiễm bot: Có khả năng các thiết bị đã bị nhiễm bot và nhà cung cấp đã đẩy một bản cập nhật làm hỏng mọi thứ.
  • Cần thông báo sự cố bảo mật: Với tư cách khách hàng, muốn được biết về các sự cố bảo mật.
  • Yêu cầu link ảnh firmware: Yêu cầu liên kết đến image firmware của thiết bị đó hoặc thêm chi tiết.
  • Log lưu lượng: Thắc mắc Black Lotus Labs biết được việc các IP liên lạc với nhau như thế nào thông qua log lưu lượng.
  • Nghi vấn về bảo mật của Tor: Thắc mắc liệu bảo mật của Tor có thực sự an toàn hay không.
  • Hộp x86 và OpenWrt: Thích mua một hộp x86 nhỏ có dual NIC để chạy OpenWrt. Mã nguồn mở, được hỗ trợ nhiều, cộng đồng tốt, hỗ trợ Wireguard.
  • Đề xuất điểm karma trên HN: Đề xuất cộng thêm điểm karma trên HN cho người gửi đã cải thiện tiêu đề dạng clickbait.
  • Khuyến nghị hữu ích từ chính phủ Canada: Liên kết đến các khuyến nghị hữu ích từ chính phủ Canada.
  • Backdoor và lỗi firmware: Những gì xảy ra khi cài backdoor lên 600.000 router và đưa vào một lỗi firmware.
  • Triển khai cập nhật theo giai đoạn: Thắc mắc liệu không thể triển khai cập nhật theo từng giai đoạn hay sao.
  • Ý nghĩa tiêu đề bài viết: Thắc mắc về ý nghĩa của tiêu đề bài viết.
  • Tiêu đề gây bối rối: Với những ai thấy tiêu đề khó hiểu, đây là về việc 600.000 router riêng lẻ bị phá hủy.
  • Bài viết liên quan: Liên kết đến bài viết liên quan của Ars Technica.