Mỹ phối hợp Đức, Canada triệt phá 4 mạng máy tính ma tấn công quy mô lớn

World – Bộ Tư pháp Mỹ ngày 19.3 thông báo đã phối hợp với Đức và Canada vô hiệu hóa cơ sở hạ tầng của 4 mạng máy tính ma (botnet) lớn, vốn đã lây nhiễm hơn 3 triệu thiết bị trên toàn cầu và từng tấn công cả một số trang web thuộc Bộ Quốc phòng Mỹ.​

Theo Bộ Tư pháp Mỹ, bốn botnet Aisuru, KimWolf, JackSkid và Mossad được sử dụng để tiến hành các cuộc tấn công từ chối dịch vụ phân tán (DDoS) nhắm vào máy tính và máy chủ tại nhiều quốc gia; trong đó có các địa chỉ IP thuộc Mạng Thông tin của Bộ Quốc phòng Mỹ, và ở một số trường hợp, thủ phạm còn đòi tiền từ nạn nhân. Phần lớn thiết bị bị lây nhiễm là các thiết bị thuộc nhóm Internet vạn vật (IoT) như webcam, đầu ghi video kỹ thuật số, bộ định tuyến Wi-Fi tại hộ gia đình và doanh nghiệp nhỏ, vốn ít được cập nhật bảo mật và thường dùng mật khẩu mặc định.​

Đặc vụ Kenneth DeChellis thuộc Cơ quan Điều tra Bộ Quốc phòng Mỹ nhấn mạnh việc triệt phá 4 botnet này thể hiện cam kết bảo vệ Bộ Quốc phòng và lực lượng vũ trang trước các mối đe dọa mạng ngày càng tinh vi. Chiến dịch được triển khai đồng thời ở Mỹ, Đức và Canada, nhằm vào những cá nhân đứng sau các mạng botnet này, cho thấy cách tiếp cận phối hợp, không chỉ vô hiệu hóa hạ tầng kỹ thuật mà còn truy tìm người điều khiển.​

Chiến dịch nhận được sự hỗ trợ của gần 24 hãng công nghệ lớn, trong đó có Amazon Web Services, Google, PayPal và Nokia, cùng nhóm PowerOff thuộc Europol – đơn vị đã theo đuổi các chiến dịch chống tội phạm mạng chuyên tấn công DDoS từ năm 2017. Sự tham gia của các tập đoàn công nghệ và cơ quan thực thi pháp luật châu Âu phản ánh mức độ đe dọa toàn cầu của botnet, cũng như vai trò then chốt của khu vực tư nhân trong điều tra, phân tích lưu lượng và chia sẻ dữ liệu kỹ thuật.​

Bản chất của botnet là mạng lưới gồm rất nhiều thiết bị kết nối internet đã bị nhiễm mã độc và bị kiểm soát từ xa mà chủ sở hữu không hề hay biết. Mỗi thiết bị bị chiếm quyền vận hành giống một “robot” thầm lặng nhận lệnh từ kẻ điều khiển; khi được kích hoạt, hàng nghìn hay hàng triệu thiết bị đồng loạt gửi lưu lượng truy cập khổng lồ đến mục tiêu để đánh sập website, phát tán thư rác hoặc hỗ trợ đánh cắp dữ liệu. Điểm nguy hiểm là các thiết bị này nhìn bề ngoài vẫn hoạt động bình thường, khiến người dùng khó nhận biết mình đang là một phần trong “đội quân ngầm” trên mạng.​

Bốn botnet Aisuru, KimWolf, JackSkid và Mossad là những biến thể phát triển từ dòng mã độc Mirai, vốn chuyên nhắm vào thiết bị IoT cấu hình thấp, ít được cập nhật và bảo vệ. Sau khi bị xâm nhập, thiết bị vẫn cho cảm giác hoạt động như thường ngày, nhưng thực tế đã trở thành một nút trong mạng lưới tấn công phân tán có thể được huy động bất cứ lúc nào. Theo các cơ quan chức năng, hơn 3 triệu thiết bị trên toàn cầu đã bị biến thành “zombie”, phần lớn nằm trong các hộ gia đình hoặc doanh nghiệp nhỏ, khiến dòng tấn công phân tán, khó truy vết.​

Không chỉ rộng về quy mô, các botnet này còn sở hữu sức tấn công rất lớn. Một số chiến dịch DDoS mà chúng thực hiện đạt lưu lượng hơn 30 terabit/giây, mức được giới chuyên gia đánh giá đủ sức làm tê liệt hạ tầng internet của những tổ chức lớn, thậm chí gây gián đoạn diện rộng. Trong đó, botnet Aisuru/KimWolf từng tạo ra cuộc tấn công đạt đỉnh khoảng 31,4 Tb/giây, tương đương lưu lượng của hàng triệu luồng video 4K phát cùng lúc, và được xem là một trong những cuộc tấn công DDoS lớn nhất từng được công bố.​

Tần suất tấn công cũng ở mức đáng lo ngại. Riêng Aisuru đã phát động hơn 200.000 lệnh tấn công, còn JackSkid khoảng 90.000 và KimWolf hơn 25.000, cho thấy đây không chỉ là những chiến dịch đơn lẻ mà là một “hệ sinh thái tội phạm mạng”, nơi các công cụ tấn công được vận hành thường xuyên, thậm chí có thể cho thuê như một dịch vụ. Mô hình “DDoS theo yêu cầu” này cho phép nhiều nhóm tội phạm khác nhau tận dụng hạ tầng botnet sẵn có để tấn công mục tiêu mà không cần tự xây dựng mạng máy tính ma của riêng mình.​

​