Hơn 300.000 cuộc tấn công DDoS nhắm tới hơn 100 quốc gia được thực hiển bởi Gorilla Botnet

Ngày 05/11/2024

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một họ phần mềm độc hại botnet mới có tên là Gorilla (hay còn gọi là GorillaBot), một biến thể của mã nguồn botnet Mirai bị rò rỉ.

1. Tóm tắt chung

Gorilla Botnet, một biến thể mạnh mẽ mới dựa trên mã nguồn Mirai, đã thực hiện hơn 300,000 cuộc tấn công từ chối dịch vụ phân tán (DDoS) trên hơn 100 quốc gia trong tháng 9 năm 2024. Botnet này đặc biệt nhắm vào các mục tiêu lớn như chính phủ, viễn thông, ngân hàng, và dịch vụ trò chơi trực tuyến. Mục tiêu của cuộc tấn công là làm gián đoạn các dịch vụ mạng, gây ảnh hưởng nghiêm trọng đến hệ thống kỹ thuật số của nhiều quốc gia.

Gorilla Botnet xuất hiện sau khi mã nguồn của botnet nổi tiếng Mirai bị rò rỉ và đã được nâng cấp với nhiều phương pháp tấn công mạnh mẽ hơn, tận dụng các lỗ hổng bảo mật trong các hệ thống máy tính và thiết bị IoT (Internet of Things). Các cuộc tấn công DDoS của Gorilla Botnet chủ yếu nhắm vào các hạ tầng mạng, làm tê liệt dịch vụ của nhiều tổ chức và doanh nghiệp.

2. Tác động của cuộc tấn công

Cuộc tấn công của Gorilla Botnet đã gây ra sự gián đoạn lớn trên toàn cầu, với các mục tiêu quan trọng bao gồm các tổ chức chính phủ, dịch vụ tài chính, và viễn thông. Công ty an ninh mạng NSFOCUS, đơn vị đã phát hiện hoạt động này vào tháng trước, cho biết botnet “đã tiến hành hơn 300.000 cuộc tấn công, với mật độ tấn công đáng kinh ngạc” từ ngày 4 tháng 9 đến ngày 27 tháng 9 năm 2024. Trung bình, mỗi ngày botnet thực hiện không dưới 20.000 lệnh để gây ra các cuộc tấn công từ chối dịch vụ phân tán (DDoS).

Nhiều công ty và tổ chức tại các quốc gia như Trung Quốc, Hoa Kỳ, Canada, Đức và các nước khác đã phải đối mặt với sự gián đoạn nghiêm trọng trong hoạt động kinh doanh.

Ngành ngân hàng và tài chính chịu tác động nặng nề từ các cuộc tấn công DDoS này, khi nhiều dịch vụ trực tuyến không thể hoạt động liên tục, ảnh hưởng đến giao dịch của người dùng. Các dịch vụ viễn thông cũng bị ngắt quãng, gây ra những khó khăn lớn trong việc duy trì liên lạc.

3. Chi tiết kỹ thuật

Gorilla Botnet sử dụng nhiều kỹ thuật tấn công DDoS phức tạp, trong đó nổi bật là các phương pháp như UDP Flood (41%), ACK Bypass Flood (24%), và VSE Flood (12%). Những kỹ thuật này cho phép botnet tạo ra lượng lưu lượng truy cập giả mạo khổng lồ, áp đảo các hệ thống mục tiêu và làm gián đoạn dịch vụ mạng. Đặc biệt, Gorilla còn khai thác lỗ hổng trong Apache Hadoop YARN RPC để thực thi mã từ xa, giúp nó dễ dàng tấn công và xâm nhập vào các hệ thống lớn mà không cần sự tương tác trực tiếp từ nạn nhân.

Thêm vào đó, botnet này còn sử dụng một kỹ thuật persistence trên máy chủ bằng cách tạo một service file có tên custom.service trong thư mục /etc/systemd/system/ và cấu hình để nó chạy tự động mỗi khi hệ thống khởi động.

Tác vụ này chịu trách nhiệm tải xuống và thực thi tập lệnh shell (“lol.sh“) từ remote server (“pen.gorillafirewall[.]su”). Các lệnh tương tự cũng được thêm vào các tệp /etc/inittab, /etc/profile, và /boot/bootcmd để tải xuống và chạy tập lệnh shell khi hệ thống khởi động hoặc người dùng đăng nhập.

3. Khuyến nghị

Phía FPT Threat Intelligence khuyến nghị tổ chức và cá nhân một số cách để phòng chống những cuộc tấn công DDos:

Sử dụng tường lửa: Các tường lửa mạng có thể giúp ngăn chặn lưu lượng không hợp lệ trước khi đến máy chủ.
Sử dụng mạng phân phối nội dung (Content Delivery Network): CDN giúp phân phối lưu lượng truy cập trên nhiều máy chủ, giảm tải cho máy chủ gốc.
Giới hạn băng thông và lọc lưu lượng: Giới hạn tốc độ kết nối và lọc gói tin không hợp lệ giúp giảm thiểu tấn công.
Sử dụng các giải pháp đám mây: Các dịch vụ bảo mật đám mây có thể theo dõi, phát hiện và giảm thiểu tấn công DDoS nhanh chóng.
Chống tấn công bằng Captcha hoặc xác thực: Áp dụng xác thực Captcha cho các yêu cầu truy cập giúp giảm lưu lượng truy cập tự động từ botnet.