Theo ZDNet, một mạng botnet có tên Hajime, được phát hiện vào tháng 10 năm ngoái, đã tăng trưởng gấp nhiều lần trong vài tuần qua, nhưng nó làm cho các chuyên gia an ninh mạng cảm thấy hoang mang - thậm chí là lo lắng - về những hành động của nó.
Mạng botnet Hajime đã lây nhiễm lên hơn 300.000 thiết bị kết nối Internet kể từ khi được tạo nên, khiến các máy quay kĩ thuật số, webcam và router chịu quyền kiểm soát của mình - nhưng nó rất thận trọng, không nhắm vào một số mạng cụ thể, bao gồm Bộ Quốc phòng Mỹ.
Giống như Mirai, mã độc tấn công các thiết bị có tên đăng nhập và mật khẩu mặc định hoặc quá yếu - thường là “admin” hoặc “root” - các nghiên cứu gần đây cho biết - khiến cho việc đột nhập và chạy các mã lệnh trở nên vô cùng đơn giản.
Có một điểm khác ở Hajime là nó loại bỏ một số cổng tường lửa và mở một số cổng khác để thiết lập một cấu trúc “command and control” từ máy này sang máy khác.
Nhưng có một vấn đề. Không ai dám chắc là mạng botnet này dùng để làm gì, hay ai đứng đằng sau nó.
Các chuyên gia an ninh mạng của Kaspersky trong một bài đăng vào thứ Ba vừa rồi đã nói rằng, “điều hấp dẫn nhất về Hajime là mục đích của nó”, và họ cũng cho biết thêm rằng mục đích đó “đến giờ vẫn chưa tìm ra”. Một số nhà nghiên cứu đã tiết lộ: “Chúng tôi chưa hề thấy nó được sử dụng vào bất kì cuộc tấn công hay hoạt động phá hoại nào”.
Cho đến nay các nhà nghiên cứu đang có nhiều ý kiến khác nhau về động cơ và lý do của mạng botnet này, nhưng không thể loại trừ bất kì điều gì. Mọi dấu hiệu đang cho thấy có thể là một hacker mũ trắng, tự lây nhiễm lên chính mình để “bảo vệ một số hệ thống” , theo như ghi chú được để lại trên mỗi hệ thống mà mạng botnet này lây nhiễm.
Tuy nhiên, bất kì mạng botnet nào - kể cả được tạo ra với ý tốt - đều có thể được sử dụng cho những mục đích phá hoại, hoặc là từ chủ sở hữu của nó hoặc là bị chiếm quyền kiểm soát từ người khác.
Các nhà nghiên cứu của Radware trong một buổi đối thoại với ZDNet vào thứ Tư đã nói rằng, “tính linh hoạt và sinh trưởng” của mạng botnet có thể được sử dụng nhằm mục đích phá hoại, như thực hiện các cuộc tấn công DDOS, phân tán mã độc, hoặc giám sát theo thời gian thực từ các webcam xâm hại quyền riêng tư. Mã độc cũng có thể được kích hoạt để ngay lập tức biến thiết bị đã bị lây nhiễm trở thành “cục gạch”, giống như mã độc BrickerBot mới được phát hiện gần đây.
Các chuyên gia cũng nói rằng một lỗ hổng mới được vá của Hajime đã có thể cho phép hacker chiếm lấy quyền kiểm soát của mạng botnet.
“Một mạng botnet lớn và có tính linh hoạt như vậy sẽ thu hút sự cạnh tranh của các hacker, vì vậy tôi nghĩ rằng Hajime sẽ trở thành mục tiêu của các hacker, những người sẽ cố gắng phá vỡ cấu trúc “command and control” nhằm chiếm lấy quyền điều khiển botnet, cướp lấy nó, biến nó thành của riêng và sử dụng cho mục đích phá hoại”, theo ông Pascal Geenens, chuyên gia an ninh và bảo mật của Radware. Ông cũng bổ sung thêm rằng: “Lỗ hổng đã được chủ nhân của mã độc vá lại, nhưng nó cũng chứng minh rằng mã độc chứa nhiều lỗ hổng có thể được khai thác”.
Các nhà nghiên cứu đang theo dõi chặt chẽ để tìm hiểu thêm. “Có vẻ như Hajime vẫn đang nằm trong quyền kiểm soát của chủ nhân ban đầu của nó - nên tôi hi vọng - và phần lớn chúng ta đang cho rằng ý định của người đó là tốt. Tôi chỉ phân vân tại sao “hiệp sĩ trắng” này vẫn đang không ngừng tăng trưởng mạng botnet này của mình và vẫn giữ các thiết bị làm con tin, đồng thời liên tục tìm kiếm và quét các đối tượng tiềm năng khác”, ông Geenens cũng phát biểu.
Nhưng với hàng trăm nghìn thiết bị đã “nằm gọn” trong mạng lưới của Hajime, nhiều khả năng rằng các đội ngũ an ninh sẽ phải liên tục túc trực để theo dõi từng động thái của mạng botnet này.