Hôm qua, nhiều ấn phẩm đã viết về một câu chuyện kỳ lạ: ba triệu bàn chải đánh răng “thông minh” đã tấn công một trang web và vô hiệu hóa nó. Đã đến lúc hiểu câu chuyện này chi tiết hơn.
- Giới thiệu
- Câu chuyện “thú vị” về bàn chải đánh răng và DDoS
- “Có một cậu bé à?”
- Không có lửa thì không có khói!?
- DDoS và botnet
- kết luận
Giới thiệu
Hôm qua, nhiều ấn phẩm của Nga đã cố gắng theo đuổi tin tức cường điệu về một cuộc tấn công DDoS được thực hiện bằng cách sử dụng bàn chải đánh răng “thông minh”. Có thông tin cho rằng “ba triệu thiết bị” đã tham gia vào vụ tấn công, điều này đã gây được sự quan tâm lớn của độc giả. Sự xuất hiện của tin tức ngay lập tức gây ra hiệu ứng lan truyền, điều này chắc chắn thể hiện ở việc tăng lưu lượng truy cập và số lần nhấp chuột. Câu hỏi duy nhất còn sót lại là: liệu vụ việc này có ý nghĩa gì không?
Tại sao câu hỏi này phát sinh?
Tin tức này rất giống với tin giả hoặc lỗi báo chí. Bạn có thể không mắc phải nó nếu chú ý đến các chi tiết đi kèm chứ không chỉ chú ý đến các thuộc tính sáng sủa bên ngoài. Mọi người đều mắc sai lầm, kể cả những ấn phẩm lớn.
Như các sự kiện ngày nay đã cho thấy, việc công bố đó thực sự có sai sót. Nhưng hãy sắp xếp mọi thứ theo thứ tự.
Câu chuyện “thú vị” về bàn chải đánh răng và DDoS
Vào ngày 30 tháng 1, cổng thông tin Thụy Sĩ Aargauer Zeitung đã công bố bài viết độc quyền, tuyên bố rằng trong một cuộc phỏng vấn với một nhân viên của công ty bảo mật nổi tiếng Fortinet, người ta nói rằng “ba triệu bàn chải đánh răng điện đã bị nhiễm phần mềm độc hại. Nó được sử dụng để thực hiện một cuộc tấn công DDoS chống lại một công ty Thụy Sĩ giấu tên.
Hình 1. Ảnh chụp màn hình phần đầu bài viết trên Aargauer Zeitung (bản tiếng Anh)
Bàn chải đánh răng thông minh thực sự có thể sử dụng các ứng dụng Java và theo lời của đại diện Fortinet, có thể hiểu rằng bọn tội phạm đã “âm thầm cài đặt” phần mềm độc hại. Bài báo viết: “Tổng cộng có 3 triệu bàn chải đánh răng bị nhiễm bẩn”. “Chỉ với một lệnh, bàn chải đánh răng, sau khi được điều khiển từ xa, có thể đồng thời yêu cầu quyền truy cập vào trang web của công ty Thụy Sĩ.” Hậu quả là công việc của anh ta sẽ bị tê liệt ít nhất 4 giờ và thiệt hại gây ra lên tới hàng triệu đô la ”.
Chúng tôi lưu ý ngay rằng để kiểm tra bài viết gốc trên trang web Aargauer Zeitung, bạn cần đăng ký trả phí. Vì vậy, việc nghiên cứu thông tin này đòi hỏi “chi phí nhỏ”, điều này rất có thể khiến nhiều người phải dừng lại. Trong phạm vi công cộng chỉ có văn bản dừng lại ở dòng về “ba triệu bàn chải đánh răng được cài đặt phần mềm độc hại”.
Sau đó, tin tức này lan truyền trong vài ngày và ngày hôm qua nó đã được xuất bản bởi hai ấn phẩm uy tín – Tom’s Hardware và ZDNet.
Phản ứng từ RuNet ngay sau đó. Tin tức này nhanh chóng được nhiều ấn phẩm hàng đầu của Nga đăng tải. Theo tin đồn, nhiều người dân đã thảo luận về vấn đề này trong bữa tối hôm đó.
Hình 2. Phiên bản đầu tiên (bản gốc) của ấn phẩm trong Tom’s Hardware
Tin tức này cũng đã thu hút sự chú ý của Anti-Malware.ru, nhưng chúng tôi quyết định không công bố nó do một số dấu hiệu có thể cho thấy nó không đáng tin cậy.
Những gì đã xảy ra tiếp theo?
Nếu bạn đi đến liên kết đối với tin tức gốc trên Tom’s Hardware, văn bản của ngày hôm qua sẽ không còn được tìm thấy ở đó ngày hôm nay. Thay vào đó, có một lựa chọn khác:
Hình 3. Văn bản tin tức mới về DDoS sử dụng bàn chải đánh răng trong Tom’s Hardware
Liên kết này chứa nhận xét được gửi bởi chuyên gia Fortinet. Nó tuyên bố rằng “chủ đề sử dụng bàn chải đánh răng cho các cuộc tấn công DDoS đã được trình bày trong cuộc phỏng vấn như một minh họa cho một loại tấn công cụ thể chứ không phải là kết quả của cuộc điều tra do Fortinet và FortiGuard Labs thực hiện.” Fortinet chỉ ra rằng cách giải thích của báo chí ngày hôm qua là không chính xác, dẫn đến “các kết luận giả định được rút ra và các kịch bản trong thế giới thực bị mờ đi”.
“Có một cậu bé à?”
Câu chuyện được kể rất kịch tính về nội dung và hình thức. Vì vậy, nó chắc chắn xứng đáng được phân tích chi tiết hơn.
Hãy bắt đầu với thực tế là những nhà xuất bản chuyển tin tức lên cổng thông tin của họ dường như không đọc toàn bộ bài báo gốc trên Aargauer Zeitung. Và trong đó, một chuyên gia của Fortinet đã nói về việc một nhà hàng có khả năng bị lây nhiễm như thế nào nếu vào đêm trước một đám cưới đã đặt hàng, một lá thư được gửi đến email doanh nghiệp của anh ấy với nội dung là từ một công ty đang chuẩn bị bó hoa cho các cặp đôi mới cưới. Bức ảnh đính kèm có thể chứa phần mềm độc hại, được kích hoạt trong hệ thống sau khi xem hình ảnh bông hoa trong mạng công ty của nhà hàng. “Chỉ cần một nhân viên làm việc này là mạng sẽ bị lây nhiễm.”
Hình 4. Một chuyên gia của Fortinet cũng phát biểu trong một cuộc phỏng vấn về các kỹ thuật lây nhiễm tiềm ẩn khác
Có thể thấy rõ rằng tin tức ban đầu trên Aargauer Zeitung thực sự chuyên tâm thảo luận về vấn đề lây nhiễm chứ hoàn toàn không phải là câu chuyện độc quyền về một cuộc tấn công DDoS ở Thụy Sĩ bằng bàn chải đánh răng thông minh.
Sau bài báo, đã có tranh cãi trên mạng về thực tế của một cuộc tấn công DDoS như vậy. Về năng lực của chuyên gia Fortinet, không có gì phải nghi ngờ về điều đó. Anh ấy là một chuyên gia trong lĩnh vực bảo mật thiết bị IoT và chúng tôi thậm chí còn có kế hoạch nói về các ấn phẩm của anh ấy về chủ đề này một cách chi tiết hơn trong tương lai.
Nhiều người bối rối trước độ chính xác mà ước tính được đưa ra: “ba triệu bàn chải đánh răng”. Về mặt hình thức, điều này chỉ có thể được nói khi có kết quả điều tra thích hợp. Nhưng không có mối liên hệ nào với cuộc điều tra của Fortinet. Vì vậy, những người tham gia thảo luận đã bày tỏ một phiên bản khác. Rất có thể, chuyên gia có thể nói rằng có tới một triệu máy tính được kết nối với bàn chải đánh răng thông minh, chẳng hạn như để thu thập số liệu thống kê, có thể bị nhiễm phần mềm độc hại. Vì trong một gia đình trung bình ở châu Âu, trung bình có ba thành viên có bàn chải đánh răng thông minh, nên từ “một triệu máy tính” chúng ta có được “ba triệu bàn chải đánh răng”.
Điều thứ hai bạn có thể nhận thấy trong ấn phẩm của Aargauer Zeitung là hình minh họa. Nó sử dụng hình ảnh từ ngân hàng ảnh Getty minh họa một mẫu bàn chải đánh răng thông minh Oral-B Triumph 5000 cụ thể của Braun. Đồng thời, văn bản không đề cập đến mẫu mã hoặc nhà sản xuất “bàn chải độc hại”. Điều này cho thấy rõ “mức độ ban đầu” của việc chuẩn bị biên tập bài báo để xuất bản.
“Lỗi” đã được sửa trong các bài viết tiếp theo. Ví dụ: Tom’s Hardware đã có một bức tranh khác, không có mối liên hệ nào với các thương hiệu. Dấu hiệu này đáng lẽ phải thu hút sự chú ý.
Không có lửa thì không có khói!?
Khả năng lây nhiễm của bàn chải đánh răng thông minh dường như vẫn tồn tại. Trong khi thảo luận về tin tức trong các cuộc trò chuyện, các chuyên gia bày tỏ quan điểm rằng bộ vi điều khiển ESP32 của Espressif Systems, được cài đặt trong các thiết bị tương tự, có thể đã bị tấn công. Nó hỗ trợ Java applet hoạt động. Con chip tương tự tích hợp hỗ trợ Wi-Fi và Bluetooth, nghĩa là một cuộc tấn công của hacker có thể được thực hiện trực tiếp nếu có sự chuẩn bị thích hợp. Điều duy nhất gây nhầm lẫn là quy mô – “một triệu ca nhiễm trùng”.
Chúng tôi xin lưu ý ngay rằng vai trò của nhà cung cấp bàn chải đánh răng trong trường hợp này phụ thuộc vào nhu cầu kiểm tra bảo mật thông tin kênh tương tác với bộ điều khiển và việc sử dụng các công cụ để chặn các nỗ lực thực hiện hoạt động độc hại. Xem xét rằng chip ESP32 được bán tự do trên Aliexpress với giá 7-14 USD, tin tặc chắc chắn có thể khám phá những khả năng như vậy.
Về mặt hình thức, có thể giả định rằng nhiễm trùng có thể là do bàn chải đánh răng gây ra, như người ta nói, không có tên. Nhưng phiên bản này có vẻ khó xảy ra (1 triệu ca lây nhiễm), vì sự kiện diễn ra ở Thụy Sĩ. Câu hỏi liệu Braun và Philips, những nhà sản xuất bàn chải đánh răng thông minh hàng đầu thế giới, có tiến hành những nghiên cứu bảo mật thông tin như vậy hay không vẫn còn bỏ ngỏ.
Là một trong những nhà nghiên cứu đã báo cáo trong các cuộc trò chuyện, khi thu thập số liệu thống kê vào năm 2016 về các cuộc tấn công DDoS nhằm vào các thị trường trực tuyến ở Thụy Sĩ, anh ấy thực sự đã xác định được một số sự cố nghiêm trọng dẫn đến sự sụt giảm hoạt động trực tuyến của các thị trường trong vòng vài giờ. Những cuộc tấn công như vậy có thể khiến doanh nghiệp thiệt hại hàng triệu đô la. Tuy nhiên, chúng có liên quan đến các cuộc tấn công vào thiết bị thông minh không? Không có dữ liệu như vậy.
Bài báo của Aargauer Zeitung cũng thảo luận về chủ đề các cuộc tấn công DDoS nhằm vào cổng của một số dịch vụ chính phủ ở Thụy Sĩ trong Diễn đàn Kinh tế Thế giới. Ngay trong cuộc trò chuyện đã có quan điểm cho rằng điều này có thể liên quan đến sự tham gia của Tổng thống Ukraine, nhưng chủ đề này ngay lập tức gây ra phản ứng mỉa mai về khả năng người nước ngoài tham gia các cuộc tấn công DDoS nhằm vào các cơ quan chính phủ ở Thụy Sĩ:
Hình 5. Phản ứng mỉa mai trước sự tham gia của người nước ngoài vào các cuộc tấn công DDoS nhằm vào các cơ quan chính phủ ở Thụy Sĩ
Dù vậy, việc xuất bản bài báo trên Aargauer Zeitung rõ ràng không nhằm mục đích “gây giật gân”. Tuyên bố về “3 triệu bàn chải đánh răng thông minh trong một cuộc tấn công DDoS” được đưa ra một cách rất giả tạo. Điều này cho phép bạn hiểu ngay rằng nếu đây không phải là giả mạo, thì nó rất giống với một câu nói tu từ.
DDoS và botnet
Các cuộc tấn công DDoS liên quan đến việc kẻ tấn công gửi một số lượng lớn yêu cầu hoặc dữ liệu đến một trang web cụ thể có thể làm quá tải tài nguyên hoặc băng thông của trang web đó. Điều này dẫn đến việc trang web không thể chấp nhận yêu cầu từ những khách truy cập hợp pháp, khiến nó không thể sử dụng được.
Các cuộc tấn công DDoS luôn được thúc đẩy bởi một mục tiêu cụ thể. Ngay cả khi chúng được những kẻ tấn công sử dụng để phản đối hoạt động của một quốc gia hoặc doanh nghiệp, thì các tác nhân đe dọa vẫn luôn được xác định. Sự vắng mặt của liên kết này có thể là một dấu hiệu rõ ràng cho thấy chúng ta đang nói về cách giải thích sai các sự kiện hoặc thậm chí là giả mạo.
Còn đối với bàn chải đánh răng thông minh, chúng chỉ có thể tương tác với Internet thông qua một “máy chủ” trung gian bị nhiễm virus – một chương trình ứng dụng được cài đặt trên máy tính ở nhà. Nó thu thập số liệu thống kê và cho phép điều khiển tín hiệu, chẳng hạn như thay đổi màu của đèn LED sau khi hoàn thành điều trị vùng tương ứng của khoang miệng. Nhưng những tiện ích như vậy rõ ràng không nhằm mục đích thực hiện các cuộc tấn công DDoS.
kết luận
Câu chuyện về một botnet bàn chải đánh răng DDoS có thể đánh sập một trang web thật buồn cười và là một lời nhắc nhở hữu ích rằng những kẻ tấn công có thể tấn công bất kỳ thiết bị nào được kết nối với internet. Chúng có thể bao gồm bộ định tuyến, máy chủ, bộ điều khiển logic lập trình (PLC), máy in và máy ảnh web.
Nhưng liên quan đến trường hợp này, FortiGuard Labs đã báo cáo (với BleepingComputer) rằng họ không tìm thấy bất kỳ botnet IoT nào nhắm mục tiêu vào bàn chải đánh răng hoặc các thiết bị tích hợp tương tự.
