Các mạng botnet đào cryptocurrency đang đem lại hàng triệu đô la cho những kẻ phát triển chúng bằng cách bí mật lây nhiễm sang các thiết bị khác nhau trên toàn cầu.
Theo cổng thông tin công nghệ ZDNet, vào đầu tháng 2 năm nay, hơn nửa triệu máy tính bị tấn công bởi một máy chủ botnet tên là Smominru, điều khiển các thiết bị khác phải đào gần 9.000 cryptocoins Monero mà không hề biết ai đang sở hữu và điều khiển những thiết bị này.
Chào mừng đến với thế giới của botnet – một chuỗi các thiết bị điện toán kết nối internet khác nhau, có thể bao gồm máy tính để bàn, máy chủ, thiết bị di động cầm tay và các thiết bị tương thích với Internet of Things (IoT), bị nhiễm độc phần mềm một cách có chủ đích và được kiểm soát bởi một loại phần mềm độc hại khác. Cơ chế hoạt động của các botnet đảm bảo rằng các chủ sở hữu thiết bị trên vẫn không biết rằng một botnet đã xâm nhập và kiểm soát hệ thống của họ.
Hệ thống này cho phép những nhà phát triển chúng khai thác cryptocurrency trong khi chi phí khai thác lại bị đánh lên các chủ sở hữu thiết bị, những người không hay biết rằng những máy đào của họ đang bị lợi dụng để sản xuất cryptocurrency.
Botnet hoạt động như thế nào?
Một hệ thống botnet giống như phần mềm độc hại thông thường. Phần mềm độc hại trên máy tính giống như bất kỳ chương trình máy tính nào khác, nhưng nó được thiết kế để sử dụng máy tính cho các hoạt động bất chính như phá hỏng hệ thống, phá hủy và / hoặc ăn cắp dữ liệu hoặc sử dụng nó cho các hoạt động bất hợp pháp có ảnh hưởng bất lợi đến thiết bị, dữ liệu và mạng lưới kết nối. Trừ khi bị các chương trình chống vi-rút / chương trình chống phần mềm độc hại cài đặt trên thiết bị phát hiện, chúng vẫn tiếp tục chạy mà các chủ sở hữu thiết bị vẫn không hề hay biết, đồng thời có khả năng nhân bản và di chuyển đến các thiết bị trong cùng hệ thống mạng.
Tương tự như vậy, các botnet là các chương trình tự động được lập trình thông qua các dòng mã và có nhiệm vụ xâm nhập vào thiết bị của người dùng. Botnet lợi dụng khả năng xử lý, nguồn điện, và băng thông Internet của máy, để khai thác một bí mật cryptocurrency.
Các botnet thường được phát tán trên một mạng kết nối riêng tư giữa một số máy tính nhất định để cộng dồn sức mạnh của các thiết bị khác nhau và tạo ra năng suất khai thác cryptocurrency cao hơn, theo đó tăng sản lượng khai thác và phần thưởng tương ứng cho những kẻ tạo ta bonet.
Bài học về Minomin Botnet của Smominru
Botnet Smominru được tạo ra vào tháng 5 năm 2017 đã khai thác được khoảng 9.000 token Monero trị giá khoảng 3,6 triệu đô la vào tháng 2 năm 2018. Các nhà nghiên cứu tại công ty an ninh mạng Proofpoint cho biết mạng botnet này bao gồm “hơn 526.000 máy Windows bị nhiễm, chúng tôi đoán hầu hết đều là các máy chủ.”
Do tính chất linh hoạt và khả năng nhân lên của bonet, nên rất khó để ngăn chặn sự lây lan của chúng bất chấp mọi nỗ lực để loại bỏ. Về mặt địa lý, các botnet của Smominru được đặt trên toàn cầu, và phần lớn chúng được tìm thấy ở Nga, Ấn Độ và Đài Loan.
Sau khi điều tra và phân tích, Proofpoint yêu cầu một mỏ khai thác Monero nổi tiếng, MineXMR, cấm địa chỉ liên quan đến Smominru. Mặc dù điều này dẫn đến việc các thợ đào dường như mất quyền kiểm soát một phần ba botnet, nhưng họ nhanh chóng đăng ký các tên miền mới và bắt đầu khai thác tới một địa chỉ mới trên cùng một mỏ đào.
Monero dường như là cryptocurrency được khai thác nhiều nhất thông qua các botnet như trên, do tính ẩn danh và các tính năng bảo mật đa dạng của đồng tiền này nên khó có thể theo dõi được địa chỉ đích mà các token được chuyển.
Làm ít hưởng nhiều?
Các phương pháp khai thác cryptocurrency ngày càng trở nên phức tạp và tốn nhiều tài nguyên. Thay vì tập trung vào một cách khó khăn, nhưng trung thực để hưởng lợi từ phần thưởng khai thác cryptocurrency, các thợ đào đã dùng các botnet và phát triển chúng bằng cách sử dụng tất cả các phương thức sẵn có để mở rộng mạng botnet của họ trên nhiều thiết bị hơn, đồng thời tập trung thời gian và công sức để tạo ra các phần mềm được lập trình sẵn. Ngoài ra, họ tiếp tục nghĩ ra nhiều cách để làm cho mạng botnet mạnh mẽ hơn.
Xét đến lợi nhuận đáng kể được tạo ra bởi các botnet, số lượng bonet và ảnh hưởng xấu của chúng cũng sẽ ngày càng gia tăng.
“Loại bỏ botnet là rất khó khăn vì chúng phân tán mạnh mẽ và những kẻ phát triển chúng cũng khá “lì” . Đối với các doanh nghiệp, tăng cường ngăn ngừa nhiễm phần mềm độc thông qua các phác đồ vá lỗi và bảo mật theo lớp là cách bảo vệ doanh nghiệp tốt nhất trước những hành động gây hại tiềm ẩn”, Phó giám đốc của ProofPoint, Kevin Epstein, nói với News.com.au.
Tháng 6 năm 2017, một bonet tương tự khác mang tên DoublePulsar đã được sử dụng để cài đặt phần mềm độc hỗ trợ đào Monero lên các thiết bị khác nhau. Vào cuối tháng 1 năm 2018, công ty bảo mật TrendMicro báo cáo rằng các dịch vụ quảng cáo DoubleClick của Google (GOOGL) của Alphabet Inc đã bị lợi dụng để phát tán phần mềm độc hại khai thác cryptocurrency cho nhiều người dùng ở Châu u và Châu Á.
Lời kết
Trong khi cơ sở hạ tầng cryptocurrency vẫn đang phát triển từng ngày, các mối đe dọa như bonet vẫn sẽ lan rộng trên các network mới thành lập. Mặc dù ở mức người dùng cá nhân, các mối đe dọa khó có thể xảy ra, nhưng việc theo dõi thường xuyên các ứng dụng đang chạy trên các thiết bị cá nhân có thể giúp phòng ngừa những hậu quả từ các phần mềm độc hại như bonet.