Chợ đen Internet dùng 70.000 máy chủ để tấn công mạng toàn cầu

• Cáp quang biển lại đứt, internet Việt Nam bị ảnh hưởng lớn
• Facebook công bố OpenCellular giúp kết nối Internet miễn phí
• Tình báo Tây Ban Nha xây dựng lực lượng chống IS trên Internet

Chợ đen trên Internet hoạt động tương tự như eBay

Qua tìm hiểu của các chuyên gia an ninh thì trong danh sách các máy chủ bị xâm phạm có uy tín có cả của hãng hàng không vũ trụ và các ngân hàng ở Mỹ, Philippines, Kazakhstan, Jordan, Ghana, Cyprus, Hàn Quốc và Arab Saudi, các hãng hóa chất ở Singapore, Thái Lan và các công ty dầu mỏ ở Trung Quốc, Ả-rập thống nhất.

Mới đây, các chuyên gia an ninh mạng đến từ hãng Kaspersky Lab của Nga cho biết, có một chợ đen trên Internet hoạt động tương tự như eBay để giới tội phạm không gian mạng bán quyền truy nhập vào hơn 70.000 máy chủ đã bị xâm phạm, từ những máy chủ này người mua có thể thực hiện tấn công không gian mạng trên phạm vi toàn cầu.

Các nhà nghiên cứu đến từ Kaspersky Lan cho biết về sự xuất hiện một diễn đàn dành cho những người sử dụng tiếng Nga để chào bán các máy chủ được sở hữu bởi các chính phủ, các doanh nghiệp và các trường đại học ở 173 nước, cho dù không biết ai đang là chủ sở hữu trên thực tế các máy chủ này. Giá truy nhập một máy chủ bị xâm phạm chỉ khoảng 6 USD. Các máy chủ này đều được cài sẵn nhiều phần mềm để tấn công từ chối dịch vụ các mạng khác, thực hiện phát tán thư rác, sản xuất tiền ảo bitcoin một cách bất hợp pháp, xâm phạm trực tuyến hoặc các hệ thống bán lẻ.

Ông Costin Raiu, người đứng đầu nhóm nghiên cứu và phân tích của Kaspersky cho biết rằng, chỉ từ 7 USD, người mua đã có thể truy nhập vào máy chủ của một số nước, bao gồm máy chủ của bộ nội vụ và ngoại giao, bộ thương mại và một số chính quyền địa phương.

Costin Raiu nói thêm rằng, thị trường có thể sử dụng hàng trăm triệu thư điện tử đã bị đánh cắp trong những tháng gần đây để dùng cho các mục đích xấu. Khi nói với tờ Reuters, Raiu cho hay: "Đánh cắp tài khoản chỉ là một phần của kinh doanh ngầm trên Internet. Trong thực tế thì còn nhiều hơn thế. Tất cả mọi thứ đều có liên quan với nhau".

Raiu cho biết, chợ đen xDedic kết nối người bán máy chủ bị xâm phạm với người mua là giới tội phạm. Những người sở hữu chợ đen này thu phí 5% đối với toàn bộ số tiền giao dịch trên tài khoản. Hãng bảo mật Kaspersky đã phát hiện ra các máy tính chạy phần mềm điều khiển từ xa được sử dụng bởi các quản trị mạng để hỗ trợ kỹ thuật cho những người sử dụng Windows. Truy nhập máy chủ với các kết nối tốc độ cao có thể phải trả đến 15 USD.

Giới tội phạm đang cố gắng thu hút người mua bằng giá thấp cùng với dịch vụ bảo vệ danh tính không bị phát hiện khi thực hiện tấn công không gian mạng. Một công ty cung cấp dịch vụ truy nhập Internet (ISP) ở châu Âu đã thông báo cho Kaspersky về sự tồn tại của chợ đen xDedic. Ông Raiu từ chối đưa ra tên của các tổ chức này. Ông cho biết, Kaspersky đã thông báo cho các tổ chức ứng cứu sự cố máy tính khẩn cấp quốc gia của một số nước.

Gia tăng các cuộc tấn công quy mô lớn

Các chuyên gia an ninh mạng đang cảnh báo số lượng tấn công DDOS quy mô lớn đang tăng mạnh khi chỉ riêng trong ba tháng đầu năm nay đã có đến 19 cuộc tấn công từ chối dịch vụ DDOS có quy mô lớn với băng thông vượt qua 100 Gbps, gấp hơn bốn lần so với quý trước đó.

Thậm chí lo ngại còn tăng thêm vì đây là những cuộc tấn công rất lớn và chỉ số ít công ty có thể tự đứng vững và những kẻ xấu phát động tấn công thông qua mạng botnet khi mà việc thuê các mạng botnet trở nên phổ biến và rẻ hơn. Thông thường, botnet được xem là các mạng máy tính được tạo thành từ các máy tính bị lây nhiễm phần mềm độc hại mà hacker có thể điều khiển từ xa. Mỗi mạng botnet có thể có đến hàng trăm ngàn máy tính hay thậm chí hàng chục triệu máy tính.

Các nhà nghiên cứu bảo mật đến từ hãng Akamai viết trong báo cáo Bảo mật Internet cấp quốc gia cho quý I năm 2016 được phát hành hôm 14-6 như sau: "Trước đây, rất ít các cuộc tấn công sử dụng công cụ botnet tạo ra được băng thông lên đến 100 Mbps". Để so sánh, hãy nhìn vào các con số: trong quý IV năm 2015 chỉ có 5 cuộc tấn công DDOS có băng thông vượt quá 100 Mbps và chỉ có 8 cuộc trong quý III. 19 cuộc tấn công trong quý I năm 2016 là một kỷ lục mới, cao hơn kỷ lục trước đó là 17 cuộc tấn công DDOS quy mô lớn được thiết lập vào quý III năm 2014.

Nhưng băng thông cao không phải là yếu tố duy nhất khiến các cuộc tấn công DDOS trở thành vấn đề khó chống đỡ. Thậm chí chỉ với băng thông thấp hơn nhưng tấn công có thể nguy hiểm nếu chúng sử dụng tốc độ gói nhanh.

Khi một số rất lớn các gói tin đến trong mỗi giây sẽ đe dọa các bộ định tuyến vì chúng được phân bổ một lượng bộ nhớ nhất định để xử lý một gói tin mà không quan tâm đến kích thước gói tin. Trong trường hợp bộ định tuyến nhận quá nhiều gói tin bổ sung và phục vụ nhiều khách hàng thì do tài nguyên bị cạn kiệt sẽ khiến không chỉ mục tiêu bị ảnh hưởng mà các hệ thống sử dụng chung bộ định tuyến cũng sẽ là nạn nhân thay thế. Theo Akamai, trong quý đầu tiên năm nay, có đến 6 cuộc tấn công DDOS có số gói tin lên đến hơn 30 triệu gói mỗi giây (Mpps) và 2 cuộc tấn công vượt ngưỡng 50 Mpps.

Bên cạnh đó, các cuộc tấn công sử dụng công nghệ DDOS nhưng ở giao thức khác cũng đang được sử dụng nhiều hơn. Hiện có bốn dạng DDOS khác được sử dụng phổ biến như: DNS (18%), NTP (12%), CHARGEN (11%) và SSDP (7%).

Một xu hướng lo ngại khác là sự gia tăng của số vụ tấn công sử dụng kết hợp hai hoặc nhiều hơn cách thức tấn công đồng thời khi mà có đến 60% cuộc tấn công DDOS quan sát được trong quý I đã sử dụng đồng thời nhiều phương thức tấn công. Ba nước có nguồn gốc các cuộc tấn công DDOS nhiều nhất là Mỹ, Trung Quốc và Thổ Nhĩ Kỳ, nhưng chủ yếu là do ở đây có nhiều máy tính bị xâm hại và nhiều máy chủ nhỏ được lắp đặt chứ không phải là nơi tội phạm không gian mạng ẩn náu.

Ngành công nghiệp bị tấn công dữ dội nhất là trò chơi trực tuyến với 55% số lượng các cuộc tấn công DDOS. Tiếp đến là phần mềm và công nghệ (25%), truyền thông và giải trí (5%), dịch vụ tài chính (4%), Internet và viễn thông (4%).