Mạng lưới botnet này được phát hiện đầu tiên bởi NewSky Security. Sau đó, các hãng bảo mật khác như Rapid7 và Qihoo 360 Netlab cũng đã vào cuộc, xác nhận sự tồn tại của mối đe dọa này khi nhận ra hành vi quét các thiết bị Huawei tăng vọt. Sự gia tăng này là do hacker tiến hành quét để tìm kiếm các thiết bị dễ bị tổn thương trước lỗi CVE-2017-17215 - một lỗ hổng bảo mật quan trọng có thể được khai thác thông qua cổng 37215, từ ngày 18-7.

Nếu một bộ định tuyến Huawei bị khai thác theo cách này, kẻ tấn công có thể gửi các gói dữ liệu độc hại, khởi động các cuộc tấn công vào thiết bị và thực thi mã từ xa – từ đó hacker có thể điều khiển và thêm các thiết bị này vào mạng botnet.

18.000 router của Huawei bị hacker chiếm quyền điều khiển.

Trong vụ việc này, hacker tự xưng là "Anarchy" đã tuyên bố nhận trách nhiệm và tiết lộ danh sách IP nạn nhân cho các nhà nghiên cứu bảo mật. Các cyberattacker tuyên bố sử dụng lỗ hổng CVE-2017-17215 cũ để thỏa hiệp ít nhất 18.000 router Huawei.

Các bộ định tuyến Huawei bị khai thác bởi một lỗ hổng đã được công bố hồi tháng 1-2018. Mã này được sử dụng trong các botnet Satori và Brickerbot, cũng như một chuỗi các biến thể dựa trên botnet Mirai khét tiếng.

Hồi năm 2016, botnet Mirai đã được dùng để phá vỡ các dịch vụ Internet trên khắp nước Mỹ với quy mô lớn chưa từng có.

Botnet là việc tạo ra các mạng khổng lồ đầy đủ các thiết bị phụ thuộc (slave), có thể bao gồm các máy tính, bộ định tuyến, điện thoại thông minh và gần đây là các thiết bị Internet of Things (IoT) từ đèn thông minh đến tủ lạnh.

Chẳng hạn, LizardStresser botnet, một hệ thống từ chối dịch vụ (DDoS), có thể khởi động các cuộc tấn công nhờ vào các thiết bị IoT hớ hênh. Sau khi mã nguồn được công bố vào năm 2015, các biến thể botnet LizardStresser đã được phát hiện nhắm vào các sản phẩm IoT với danh sách thông tin người dùng được mã hóa cứng.

V.Cường (tổng hợp)