Mạng botnet Mirai được phát hiện từ tháng 8/2016. Mã độc này được thiết kế nhằm vào thiết bị IoT chứa lỗ hổng hoặc bảo mật kém vẫn đang sử dụng các mật khẩu mặc định. Khi mã độc Mirai xâm nhập thành công vào một thiết bị IoT,thì thiết bị này tham gia vào mạng botnet Mirai và có thể bị điều khiển để thực hiện các cuộc tấn công mạng, chẳng hạn như tấn công từ chối dịch vụ.

Sau khi tìm được các thiết bị IoT, Mirai thực hiện truy cập telnet trực tiếp hoặc nếu không được sẽ thực hiện bruteforce mật khẩu qua telnet hoặc ssh. Trong mã nguồn của Mirai cho thấy Mirai có sử dụng 60 tài khoản, mật khẩu mặc định để thực hiện tấn công như root:root; admin:admin1234; guest:guest…

Mặc dù có thể truy cập thành công được thiết bị nhưng mã độc này lại sử dụng một lệnh đặc biệt của busybox (tiện ích trên các thiết bị Linux nhúng) do đó bot sẽ không thực hiện lây nhiễm được nếu thiết bị không được cài đặt busybox.

Một khi sử dụng được busybox, mã độc sẽ thực hiện quá trình lây nhiễm. Đặc biệt sau khi lây nhiễm thành công, Mirai thực hiện tắt tất cả các tiến trình đang hoạt động kết nối tới cổng 22, 23 và 80 và khóa toàn bộ tài khoản đăng nhập trên thiết bị. Ngoài ra, Mirai còn có khả năng rà soát trên bộ nhớ nhằm tìm kiếm và gỡ bỏ mã độc anime và nhiều loại mã độc khác để đảm bảo thiết bị được kiểm soát hoàn toàn. Sau khi thực hiện lây nhiễm thành công, mã độc kết nối tới máy chủ điều khiển và chờ lệnh tấn công.

Trước tình hình này, các cơ quan, đơn vị phải chủ động kiểm tra, rà soát, bóc gỡ mã độc ra khỏi hệ thống mạng hoặc liên hệ với Cục An toàn thông tin để phối hợp  tổ chức tiến hành kiểm tra và bóc gỡ mã độc botnet trên hệ thống.

 (Nguồn:  http://khcn.cinet.vn)