Hiểm họa khôn lường từ các tấn công DDoS botnet

Botnet là tập hợp bao gồm các thiết bị mà nó xâm nhập, thành phần xác định là sự tồn tại của hệ thống lệnh và điều khiển (command and control | C&C) nơi kiểm soát những gì mà một bot thực hiện. Bằng cách giao tiếp với hệ thống botnet C&C, mỗi thiết bị bị xâm nhập sẽ tạo thành một mạng lưới các bot. Các bot này sau đó được điều khiển bởi các lệnh gửi từ "botmaster" hoặc "botherder".

Bước đầu tiên của việc tạo ra một botnet là chiếm đoạt một thiết bị được xác định là có lỗ hổng bảo mật, sau đó cho phép chúng bị nhiễm “botware”. Các bot dùng để tạo ra botnet bao gồm máy tính, điện thoại thông minh, thiết bị ảo hoặc đa dạng các thiết bị IoT (Internet of Things) như camera IP, TV thông minh, đồ điều khiển hoặc thậm chí là những món đồ chơi trẻ em. Đặc biệt, các lỗ hổng IoT cấu hình sai là tác nhân phổ biến để tạo ra các mạng IoT botnet, dễ dàng cho các hacker xâm nhập và tấn công. 

Bất chấp các cảnh báo về lỗ hổng IoT, nhiều người vẫn lơ là với các yêu cầu cơ bản về bảo mật cần có trên các thiết bị. Bên cạnh đó, việc các nhà cung cấp không kịp thời đưa ra bản cập nhật bảo mật hoặc người dùng thiết bị không cập nhật kịp thời cũng là một trong những nguyên do tạo ra các lỗ hổng IoT.

Thông thường, các tội phạm mạng sẽ gây ra các cuộc tấn công botnet với 4 mục đích chính sau:

Spam và lừa đảo: Tấn công bot cho phép những kẻ gửi thư rác tránh được vấn đề về địa chỉ IP của chúng bị đưa vào danh sách đen. Hoặc thậm chí khi bị đưa vào danh sách đen, chúng có thể tạo ra hàng nghìn IP dự phòng khác để sử dụng. Spam mạng botnet được sử dụng để đánh cắp danh tính bằng cách tạo ra một lượng lớn tin nhắn email rác để kêu gọi người nhận truy cập các Website khuyến mãi, Website mạo danh ngân hàng và các tổ chức tài chính khác,... Thông qua cách thức đó, những kẻ lừa đảo sẽ tiến hành thu thập thông tin cá nhân như chi tiết tài khoản ngân hàng, dữ liệu thẻ tín dụng và thông tin đăng nhập trang web để sử dụng cho mục đích xấu.

Gian lận Pay-Per-Click: Để tăng doanh thu quảng cáo trên trang web, mạng botnet được sử dụng để chiếm đoạt mô hình quảng cáo Pay-Per-Click (quảng cáo trả cho mỗi lần nhấp chuột) bằng cách giả mạo sự tương tác của người dùng. Do tính chất phân tán của các nguồn nhấp chuột, rất khó để các tổ chức mạng quảng cáo xác định được cách thức gian lận Pay-Per-Click này.

Cryptomining: Một botnet IoT là nền tảng hoàn hảo để các tin tặc đào tiền mã hóa. Bằng cách chạy các thuật toán khai thác tiền điện tử dựa trên hàng chục nghìn bot, tin tặc thực hiện đánh cắp nguồn lực máy tính từ chủ sở hữu thiết bị, qua đó tạo ra doanh thu đáng kể mà không cần chi phí khai thác thông thường, chẳng hạn như tiền điện.

Tấn công DDoS: Các cuộc tấn công tấn công từ chối dịch vụ phân tán (Distributed Denial of Service | DDoS) dễ dàng được thực hiện bằng cách sử dụng botnet và các thư rác do botnet tạo ra, bản chất phân tán của bot khiến các tổ chức khó lọc ra lưu lượng DDoS. Botnet có thể thực hiện bất kỳ loại tấn công DDoS nào và thậm chí kích hoạt đồng thời nhiều loại tấn công. Các cá nhân có thể mua các cuộc tấn công DDoS trên một số Website nhất định, cả Dark Web và web thông thường, với giá ít nhất là 5$/giờ dựa trên quy mô và thời gian của cuộc tấn công.

Các phương thức lệnh và điều khiển botnet mới nhất dựa trên các kết nối ngang hàng Peer-to-Peer (P2P). Trong mô hình này, các thiết bị bị xâm nhập phát hiện ra nhau bằng cách quét dải địa chỉ IP cho các dịch vụ cổng và giao thức cụ thể, đồng thời chia sẻ danh sách các thiết bị cùng loại và lệnh đã biết với bất kỳ thành viên mạng botnet nào được xác định. Việc tạo ra loại mạng lưới phân tán cấp cao này sẽ phức tạp hơn nhưng cùng với đó, nó sẽ khó bị gián đoạn hơn. 

Với sự phát triển theo cấp số nhân của các thiết bị IoT có độ bảo mật kém, cũng như số lượng ngày càng tăng của các máy tính dễ bị xâm nhập, các cuộc tấn công botnet đang trở nên tràn lan.

Do đó, tất cả các nhóm IT (Information Technology) nên chuẩn bị sẵn sàng để đối phó với các cuộc tấn công DDoS botnet với 4 điều cơ bản như sau:

• Mọi tổ chức phải nhận thức được rằng dù các tài sản hoặc dịch vụ trực tuyến nhỏ hay lớn đều có thể bị tấn công. 
• Các tổ chức nên lập kế hoạch tăng băng thông một cách lý tưởng trên cơ sở cần thiết. Khả năng mở rộng quy mô kết nối internet sẽ khiến botnet và cuộc tấn công DDoS khó xâm nhập quyền truy cập và cô lập tổ chức khỏi internet. Chiến lược cung cấp linh hoạt này cũng cho phép áp dụng các dịch vụ đám mây, thay vì dựa vào các dịch vụ tại chỗ hoặc trung tâm dữ liệu đơn lẻ. 
• Các tổ chức nên xem xét sử dụng hoặc mở rộng CDN (Content Delivery Network) của họ để tăng băng thông phân phối từ phía máy khách. Việc sử dụng nhiều CDN cũng giúp nâng cao khả năng chống lại các cuộc tấn công DDoS.
• Cuối cùng, các tổ chức doanh nghiệp nên củng cố mọi thứ vững chắc. Triển khai một cách có chiến lược về dịch vụ giảm thiểu DDoS phần cứng và phần mềm trên toàn bộ cơ sở hạ tầng của tổ chức chính là chìa khóa để giảm thiểu nguy cơ tiềm tàng của một cuộc tấn công botnet và DDoS.

Tuy nhiên với nhiều thủ thuật ngày càng tinh vi của các tội phạm mạng, các tổ chức nên tìm đến những nhà cung cấp giải pháp bảo mật an ninh mạng uy tín hiện nay như VNIS. Nền tảng bảo mật của VNIS đã mang lại độ tin cậy, hiệu suất và bảo mật Server Web với đa dạng giải pháp công nghệ cao hàng đầu như Cloud WAF, chống DDoS máy chủ gốc,... Nếu bạn muốn trải nghiệm thử VNIS hoặc gặp bất cứ vấn đề nào về bảo mật, hãy liên hệ ngay với chúng tôi qua hotline: (028) 7306 8789 hoặc điền thông tin đăng ký dưới đây, các chuyên gia của chúng tôi sẽ hỗ trợ bạn ngay lập tức.