Botnet: thủ đọan mới của hacker

Hồi tháng 6 vừa qua, các trang web của Google, Yahoo và Microsoft biến mất hàng giờ liền khi máy chủ của họ bị tấn công bởi hàng trăm ngàn trang web đồng thời yêu cầu họ chấm dứt dịch vụ. Có vẻ như đây là một vụ tấn công quy mô lớn và nghiêm trọng, nhưng thực ra để thực hiện thì lại không có gì dễ hơn.

Botnet và tội phạm phi tổ chức

Để phát động tấn công, tay hacker chỉ cần cách gõ một câu lệnh đơn giản vào phòng chat internet, "đánh thức" các robot phần mềm "ngủ đông" (gọi tắt là bot) cấy trong hàng chục ngàn máy tính trên thế giới với sự hỗ trợ của virus máy tính. Khi đọc được câu lệnh trong phòng chat internet mà chúng đang theo dõi, các bot này bắt đầu tạo ra một "trận mưa" yêu cầu tại máy chủ của các trang web công ty. Kết quả: máy chủ chỉ biết "im lặng" thực hiện các yêu cầu và phải ngừng kết nối mạng cho đến khi cuộc tấn công ngừng lại.

Cách làm này đang tạo nên một làn sóng tội phạm chống lại nền thương mại điện tử mà trong đó, các mạng lưới bot, hay còn gọi là botnet, đang được các nhóm hacker sử dụng ngày càng nhiều. Muốn đánh sập website của đối thủ thương mại cạnh tranh? Hoặc gửi thư rác, thậm chí phát tán thư đánh cắp mật khẩu và tài khoản ngân hàng của mọi người? Tất cả đều là mục tiêu ưa thích của hacker sử dụng botnet.

Các cuộc tấn công từ chối phân tán dịch vụ (DDOS) vào Yahoo, Microsoft và Google đều đạt được hiệu quả như mong muốn, bởi vì chúng đều nhằm vào một trong những công ty cung cấp mạng của họ - Akamai Technologies tại Cambridge, Massachusetts (Mỹ). Nhưng Akamai không phải là nạn nhân duy nhất của trò phá hoại mang tên botnet.

Chẳng hạn, tuần trước, công ty cá cược trực tuyến Blue Square cũng trở thành nạn nhân của các hacker sử dụng botnet. Và một quản trị viên thuộc công ty truyền hình vệ tinh Massachusetts đã bị buộc tội thuê vài botnet để làm gián đoạn website của ba đối thủ, gây thiệt hại cho công ty cung cấp dịch vụ mạng khoảng 1 triệu đô la. Vụ này đánh dấu một bước ngoặt lớn. Frank Harrill, thành viên đội chống tội phạm internet của FBI ở Los Angeles, cho biết: "Đây là lần đầu tiên chúng tôi truy tố cá nhân vì tội sử dụng botnet vào mục đích vụ lợi. Nhưng đây sẽ không phải là vụ cuối cùng".

Mặc dù các vụ tấn công DDOS không còn mới mẻ, tác hại mà chúng gây ra không hề nhỏ chút nào. Một nhóm hacker sẽ thống nhất thời gian để cùng nhau đồng loạt liên lạc với máy chủ đích theo phương pháp thủ công, nhưng hiếm khi chúng huy động được đầy đủ máy tính tấn công để làm tràn ngập tất cả các kênh của một website chuyên nghiệp. Nhưng đối với botnet, mọi chuyện trở nên dễ như... ăn bánh khi tổ chức các cuộc tấn công phân tán từ một mạng lưới khổng lồ, đặc biệt. Chúng ta có thể gọi đây là loại hình tội phạm phi tổ chức.

Khi máy tính trở thành tội phạm

Vậy làm thế nào mà một chiếc máy tính vô tội có thể tham gia botnet? Trước hết, một loại virus máy tính sẽ cài đặt chương trình "cổng sau" nhằm để ngỏ một cổng internet trên máy tính. Cả SoBig và MyDoom đều sử dụng chiến thuật này.

Sau đó, hacker sẽ thăm dò máy tính nối mạng để tìm chiếc cổng mở, và khi tìm được, chúng sẽ cài đặt một bot phần mềm vào ổ cứng. Các chuyên gia an ninh máy tính gọi những chiếc máy tính mang bot là "thây ma sống", vì hacker có thể dùng câu lệnh đánh thức chúng dậy. Do bot có thể được đặt vào bất kỳ số lượng máy tính nào, và phòng chat internet có thể trở thành "tổng hành dinh" kiểm soát chúng, không tồn tại giới hạn kỹ thuật nào đối với kích thước của botnet.

Theo David Dittrich, quản trị viên hệ thống thuộc ĐH Washington (Seattle, Mỹ), giao thức IRC mà phòng chat sử dụng là một trong những phương pháp điều khiển và kiểm soát cực kỳ tiện lợi, bởi vì nó cho phép người vận hành phòng chat cùng lúc giao tiếp với tất cả mọi thành viên (hoặc bot).

Theo nghiên cứu mới nhất của công ty an ninh điện tử Symantec Antivirus, hồi tháng 1, botnet huy động khoảng 2.000 máy tính "vô tội" vào các cuộc tấn công. Nhưng đến tháng 5, con số này đã lên tới trên 60.000 máy. Nguyên nhân gây nên hiện tượng này là sự gia tăng trong việc kết nối băng thông rộng 24/24, kéo theo số lượng "thây ma sống" gia nhập vào phòng chat vào bất cứ thời điểm nào.

Để phát hiện các "thây ma sống" trong mạng của mình, quản trị hệ thống sẽ kiểm tra luồng lưu thông "chủ - tớ" đặc trưng. Dittrich cho biết: "Nếu bạn thấy 10 trong số các máy tính của mình nhận được cùng một dữ liệu từ một máy tính ở Rumani chẳng hạn, sau đó nhanh chóng tìm cách kết nối với một địa chỉ lớn như website của Chính phủ, chắc chắn là máy tính của bạn đã trở thành "thây ma sống".

Khi phát hiện được "thây ma sống", chúng ta có thể phân tích bot để tìm địa chỉ của phòng chat kiểm soát nó, từ đó đánh sập phòng chat và lần ra thủ phạm. Nhưng giới hacker cũng có thể che bớt dấu vết tội phạm của mình bằng cách mã hóa địa chỉ phòng chat hoặc giả vờ như cũng bị bot phá hoại. Viki Navrratilova, quản trị hệ thống của ĐH Chicago, nói: "Chúng cũng giống như là lũ gián vậy. Bạn phun thuốc vào kẽ tường trong nhà bếp, thế mà chúng vẫn tìm được cách trốn thoát. Chúng ta chỉ diệt được một ít mà thôi."

Thứ Sáu, 19/11/2004 08:33
31 👨 254