Có vô số chủng phần mềm độc hại ngoài kia gây ra mối đe dọa cho người dùng, các thiết bị và thông tin cá nhân. Một loại phần mềm độc hại như vậy, được gọi là Mirai, đã gây rắc rối cho người dùng trên khắp thế giới. Nhưng chính xác thì Mirai là gì, nó nhắm mục tiêu tới đối tượng nào và làm thế nào để tránh được phần mềm độc hại này?
Mirai là gì?
Mirai lần đầu tiên được phát hiện vào nửa cuối năm 2016 bởi Malwaremustdie, một tổ chức an ninh mạng phi lợi nhuận.
Vào tháng 9 năm 2016, Mirai đã được sử dụng để khởi động một cuộc tấn công DDOS (tấn công từ chối dịch vụ phân tán) trên các nền tảng trực tuyến khác nhau, bao gồm Twitter, Reddit và Spotify. Có 3 cá nhân thú nhận đã tạo ra Mirai Botnet và thừa nhận rằng họ đã thực hiện cuộc tấn công để vô hiệu hóa các máy chủ Minecraft khác, giúp dễ dàng kiếm tiền thông qua video game nổi tiếng này.
Tuy nhiên, sau đó code của Mirai Botnet đã được phát hành trực tuyến. Người ta cho rằng điều này được thực hiện để che giấu nguồn gốc thực sự của Mirai, nhưng cũng cho phép những tên tội phạm mạng khác tiếp cận với botnet hiệu quả.
Kể từ năm 2016, Mirai đã được sử dụng nhiều lần để thực hiện các cuộc tấn công DDoS. Chẳng hạn, vào đầu năm 2023, Mirai bị phát hiện là thủ phạm của một chiến dịch độc hại nhắm vào các thiết bị IoT và những máy chủ dựa trên Linux. Trong cuộc tấn công này, một biến thể Mirai, được đặt tên là "V3G4", đã được sử dụng để khai thác 13 lỗ hổng bảo mật của các máy chủ và thiết bị mục tiêu đang chạy các bản phân phối Linux. Các biến thể phần mềm độc hại rất phổ biến và thường được trang bị các khả năng mới có thể giúp cuộc tấn công thành công dễ dàng hơn.
Mirai chủ yếu tấn công các thiết bị IoT (Internet of Things). Thuật ngữ "IoT" đề cập đến các thiết bị thông minh có thể kết nối với nhau để tạo thành mạng. Nói tóm lại, thiết bị IoT là một thiết bị được trang bị một số yếu tố nhất định, chẳng hạn như cảm biến và chương trình phần mềm, cho phép chúng kết nối với nhau. Các thiết bị IoT chạy trên Linux và sử dụng những bộ xử lý ARC (ARGONAUT RISC Core) là mục tiêu chính của Mirai.
Vì vậy, làm thế nào loại phần mềm độc hại này tấn công được các thiết bị và mục tiêu cuối cùng của nó là gì?
Mirai hoạt động như thế nào?
Mirai thuộc một loại phần mềm độc hại được gọi là botnet. Botnet là mạng các máy tính hoạt động song song để thực hiện những hành động độc hại. Mirai lây nhiễm vào các thiết bị được nhắm mục tiêu, thêm chúng vào botnet và sử dụng sức mạnh xử lý của chúng để đạt được mục tiêu của kẻ tấn công. Khi một thiết bị bị nhiễm, nó trở thành "zombie" và sẽ làm những gì mà kẻ tấn công yêu cầu.
Mục tiêu chính của Mirai Botnet là tiến hành các cuộc tấn công DDoS trên các trang web được nhắm mục tiêu. Một cuộc tấn công DDOS liên quan đến việc tràn vào một trang web với lưu lượng truy cập lớn đến mức làm quá tải các máy chủ và gây ra sự cố, khiến nó không có sẵn cho người dùng. Nhiều cuộc tấn công DDoS trước đây đã gây ra thiệt hại lớn, ví dụ như cuộc cuộc tấn công Amazon Web Services (AWS) năm 2020 và cuộc tấn công của GitHub năm 2018. Các cuộc tấn công DDoS lớn nhất có thể diễn ra trong vài ngày hoặc thậm chí vài tuần.
Nhiều thiết bị được yêu cầu gửi các gói traffic đến một trang web và thực hiện thành công một cuộc tấn công DDoS. Đây là nơi botnet có thể hữu ích với những kẻ tấn công.
Tất nhiên, tội phạm mạng về mặt kỹ thuật có thể mua một số lượng lớn máy móc và sử dụng chúng để thực hiện một cuộc tấn công DDOS, nhưng việc này sẽ cực kỳ tốn kém tiền bạc và thời gian. Vì vậy, những kẻ tấn công lựa chọn lây nhiễm các thiết bị nạn nhân không nghi ngờ bằng phần mềm độc hại có thể thêm chúng vào botnet. Botnet càng lớn (tức là càng nhiều thiết bị zombie được thêm vào), trang web càng bị ảnh hưởng nghiêm trọng.
Mirai bắt đầu quá trình lây nhiễm bằng cách sàng lọc các địa chỉ IP để tìm các thiết bị dựa trên Linux chạy trên bộ xử lý ARC, mục tiêu chính của phần mềm độc hại. Khi một thiết bị thích hợp được xác định, phần mềm độc hại sẽ tìm kiếm và khai thác mọi lỗ hổng bảo mật có trên thiết bị. Mirai sau đó có thể lây nhiễm thiết bị IoT trong câu hỏi nếu tên người dùng và mật khẩu được sử dụng để truy cập chưa được thay đổi. Bây giờ, Mirai có thể thêm thiết bị vào botnet như là một phần của cuộc tấn công DDoS sắp xảy ra.
Không phải lúc nào cũng dễ dàng biết liệu máy tính của bạn có bị nhiễm phần mềm độc hại botnet hay không. Vậy bạn có thể làm gì để xác định và tránh Mirai?
Cách tránh bị nhiễm malware Mirai
Mặc dù Mirai đã thấy thành công trong các cuộc tấn công mạng trong quá khứ, nhưng có những điều bạn có thể làm để tránh và phát hiện botnet nguy hiểm này.
Các dấu hiệu bị nhiễm botnet bao gồm việc những sự cố và hiện tượng tắt máy diễn ra thường xuyên, kết nối Internet chậm và máy quá nóng. Điều quan trọng là phải nhận thức được các dấu hiệu này để không vô tình bỏ sót loại phàn mềm độc hại này.
Khi nói đến việc phòng tránh phần mềm độc hại botnet, tuyến phòng thủ đầu tiên của bạn phải luôn là một chương trình diệt virus đáng tin cậy. Phần mềm diệt virus liên tục quét thiết bị để tìm các file và code đáng ngờ, sau đó bị cách ly và xóa nếu xác định đó là mối đe dọa.
Hầu hết các nhà cung cấp phần mềm diệt virus hợp pháp đều yêu cầu trả phí, điều này có vẻ khó chịu, nhưng sự bảo vệ bạn nhận được cực kỳ xứng đáng.
Bạn cũng nên đảm bảo rằng bạn thường xuyên cập nhật phần mềm ứng dụng và hệ điều hành của mình để giải quyết mọi lỗ hổng bảo mật. Các lỗ hổng bảo mật khá phổ biến trong các chương trình phần mềm và thường được khai thác bởi tội phạm mạng để phát động các cuộc tấn công. Cập nhật phần mềm có thể giúp vá các lỗ hổng này và do đó có thể bảo vệ bạn khỏi những chiến dịch độc hại nhất định.
Mirai quét các thiết bị IoT để tìm những lỗ hổng bảo mật trong quá trình lây nhiễm và cơ hội có điểm yếu như vậy tăng lên nếu bạn không cập nhật phần mềm thường xuyên. Bạn có thể lên lịch cập nhật tự động cho hệ điều hành và ứng dụng của mình, hoặc chỉ cần kiểm tra chúng thường xuyên để xem liệu có bản cập nhật nào chưa được update không.
Ngoài ra còn có các giải pháp botnet mà bạn có thể cài đặt để bảo vệ mình khỏi loại phần mềm độc hại này. Các chương trình này có thể phát hiện và giải quyết việc lây nhiễm botnet và bảo vệ các trang web/nạn nhân của những cuộc tấn công DDoS.