14.000 bộ định tuyến bị nhiễm phần mềm độc hại có khả năng chống gỡ xuống cao

Tác giả tanthanh 13/03/2026 11 phút đọc

Các nhà nghiên cứu cho biết họ đã phát hiện ra một mạng botnet chống gỡ xuống gồm 14.000 bộ định tuyến và các thiết bị mạng khác, chủ yếu do Asus— sản xuất, đã được đưa vào mạng proxy ẩn danh mang lưu lượng truy cập được sử dụng cho tội phạm mạng.

Chris Formosa, nhà nghiên cứu tại công ty bảo mật Lumen's Black Lotus Labs, nói với Ars rằng phần mềm độc hại có tên KadNap— nắm giữ bằng cách khai thác các lỗ hổng chưa được chủ sở hữu vá. Sự tập trung cao độ của bộ định tuyến Asus có thể là do các nhà khai thác botnet có được cách khai thác đáng tin cậy đối với các lỗ hổng ảnh hưởng đến các mô hình đó. Ông nói rằng, khó có khả năng những kẻ tấn công đang sử dụng bất kỳ zero-day nào trong hoạt động.

Một botnet nổi bật trong số những người khác

Số lượng router bị nhiễm trung bình khoảng 14.000 mỗi ngày, tăng từ 10.000 vào tháng 8 năm ngoái, khi Black Lotus phát hiện ra botnet. Các thiết bị bị xâm phạm được đặt chủ yếu ở Mỹ, với dân số nhỏ hơn ở Đài Loan, Hồng Kông và Nga. Một trong những tính năng nổi bật nhất của KadNap là thiết kế ngang hàng phức tạp dựa trên Kademlia, một cấu trúc mạng sử dụng các bảng băm phân tán để che giấu địa chỉ IP của máy chủ chỉ huy và kiểm soát. Thiết kế này làm cho botnet có khả năng chống lại sự phát hiện và gỡ xuống thông qua các phương pháp truyền thống.

“Mạng botnet KadNap nổi bật trong số những mạng khác hỗ trợ các proxy ẩn danh trong việc sử dụng mạng ngang hàng để kiểm soát phi tập trung,” Formosa và nhà nghiên cứu Steve Rudd của Black Lotus đã viết thứ tư. “Ý định của họ rất rõ ràng: tránh bị phát hiện và gây khó khăn cho người phòng thủ trong việc bảo vệ khỏi.”

Các bảng băm phân tán từ lâu đã được sử dụng để tạo các mạng ngang hàng cứng, đáng chú ý nhất là BitTorrent và Hệ thống tập tin liên hành tinh. Thay vì có một hoặc nhiều máy chủ tập trung trực tiếp kiểm soát các nút và cung cấp cho chúng địa chỉ IP của các nút khác, DHT cho phép bất kỳ nút nào thăm dò các nút khác cho thiết bị hoặc máy chủ mà nó đang tìm kiếm. Cấu trúc phi tập trung và việc thay thế địa chỉ IP bằng hàm băm giúp mạng có khả năng phục hồi trước các cuộc tấn công gỡ xuống hoặc từ chối dịch vụ.

Khái niệm DHT có thể khó nắm bắt. Ở mức độ đơn giản hóa, chúng là các cấu trúc dữ liệu được lưu trữ trên nhiều mạng ngang hàng, như được mô tả đây". Thiết kế này làm cho mạng có thể mở rộng. Càng nhiều nút mạng, sự phân bố các phần tử càng tốt. DHT cũng làm cho mạng có khả năng chịu lỗi. Khi một nút rời khỏi mạng, các nút sẽ đi nơi khác để tra cứu vị trí. Về lý thuyết, cách duy nhất để gỡ bỏ mạng là cắt đứt tất cả các nút được kết nối.

Kademlia sử dụng không gian 160 bit để chỉ định (1) key— là các chuỗi bit duy nhất được tạo ra bằng cách băm một đoạn data— và (2) ID nút, cả hai đều được gán cho mỗi nút. Sau đó, các nút lưu trữ khóa của các nút khác. Các khóa được lưu trữ được sắp xếp theo sự giống nhau của chúng với ID của nút lưu trữ chúng. Sự gần gũi được đo bằng Khoảng cách XOR, một phương tiện toán học để ánh xạ một mạng. Khi một nút thăm dò một nút khác, nó sử dụng số liệu này để xác định vị trí các nút khác có khoảng cách gần nhất với khóa mà nó tìm kiếm cho đến khi cuối cùng nó tìm thấy kết quả khớp. KadNap, một biến thể của Kademlia, lấy khóa để tìm kiếm thông qua nút BitTorrent.

Formosa giải thích:

DHT giúp bạn ngày càng tiến gần hơn đến một mục tiêu. Trước tiên, bạn liên hệ với một số nút bittorrent mục nhập và về cơ bản nói “này, tôi có cụm mật khẩu bí mật này. Tôi đang tìm ai để đưa nó cho.” Vì vậy, bạn đưa nó cho một vài “hàng xóm gần đó” và họ nói “ah ok Tôi không hiểu đầy đủ cụm mật khẩu này nhưng nó khá quen thuộc và đây là một số người có thể biết điều đó có nghĩa là gì. Vì vậy, bây giờ bạn đi đến những người hàng xóm đó và quá trình tiếp tục. Cuối cùng bạn cũng đến được với người nói “Có! Đây là cụm mật khẩu của tôi, chào mừng bạn đến với.” Trong trường hợp của chúng tôi, khi chúng tôi tiếp cận người này, họ nói đây là tệp tới cổng tường lửa 22 và sau đó đây là tệp thứ hai chứa địa chỉ C2 mà bạn muốn kết nối.

Bất chấp sự phản kháng đối với các phương pháp gỡ xuống thông thường, Black Lotus cho biết họ đã nghĩ ra một phương tiện để chặn tất cả lưu lượng truy cập mạng đến hoặc đi từ cơ sở hạ tầng điều khiển. Phòng thí nghiệm cũng đang phân phối các chỉ số thỏa hiệp cho nguồn cấp dữ liệu công cộng để giúp các bên khác chặn quyền truy cập.

Các thiết bị bị nhiễm đang được sử dụng để vận chuyển lưu lượng truy cập Doppelganger, một dịch vụ proxy có tính phí giúp thu hút lưu lượng truy cập Internet của khách hàng thông qua các kết nối Internet’, chủ yếu là khu dân cư— của những người không nghi ngờ. Với băng thông cao và địa chỉ IP với danh tiếng sạch sẽ, dịch vụ cung cấp cho khách hàng một cách đáng tin cậy để truy cập hiệu quả và ẩn danh các trang web mà có thể không thể truy cập được.

Những người lo ngại thiết bị của họ bị nhiễm có thể kiểm tra trang này đối với địa chỉ IP và hàm băm tệp được tìm thấy trong nhật ký thiết bị. Để khử trùng các thiết bị, chúng phải được khôi phục cài đặt gốc. Bởi vì KadNap lưu trữ một tập lệnh shell chạy khi bộ định tuyến bị nhiễm khởi động lại, chỉ cần khởi động lại thiết bị sẽ khiến thiết bị bị xâm phạm một lần nữa. Chủ sở hữu thiết bị cũng nên đảm bảo tất cả các bản cập nhật chương trình cơ sở có sẵn đã được cài đặt, mật khẩu quản trị mạnh và quyền truy cập từ xa đã bị vô hiệu hóa trừ khi cần thiết.