Phần Mềm rTorrent Bị Hacker Lợi Dụng Khai Thác Đào Tiền Ảo

08 Tháng Ba 201812:51 SA(Xem: 25761)
Phần Mềm rTorrent Bị Hacker Lợi Dụng Khai Thác Đào Tiền Ảo
Phần Mềm rTorrent Bị Hacker Lợi Dụng Khai Thác Đào Tiền Ảo

Khoảng đầu tháng 03/2018, các nhà nghiên cứu cho biết, những kẻ tấn công đã tạo ra được 3,900 USD từ các chiến dịch khai thác ứng dụng nổi tiếng rTorrent để ngầm cài đặt phần mềm chạy máy đào tiền ảo trên những máy tính chạy trên các hệ điều hành như Unix.

 

Đối với Tavis Ormandy, nhà nghiên cứu thuộc dự án Project Zero của Google, các lỗ hổng do cách cấu hình tương tự ở một số điểm với những lỗ hổng từng xuất hiện trên các ứng dụng BitTorrent như Transmission và uTorrent. Phần minh chứng cho các cuộc tấn công (Proof of Concept) được phát triển để khai thác các điểm yếu trong giao diện chương trình JSON-RPC, vốn cho phép các trang web có người dùng truy cập có thể tải xuống và kiểm soát các phím chức năng quan trọng khác. Phần minh chứng cho thấy, các trang web độc hại có thể lạm dụng giao diện để chạy các đoạn code độc hại trên những chiếc máy tính dễ bị tấn công.

 

Các cuộc tấn công nhắm vào rTorrent đang khai thác XML-RPC, một giao diện rTorrent sử dụng HTTP và công cụ XML mạnh mẽ hơn để nhận dữ liệu vào từ các máy tính điều khiển từ xa. rTorrent không yêu cầu việc xác nhận từ XML-RPC. Thậm chí giao diện có thể thực thi lệnh shell command trực tiếp trên hệ điều hành mà rTorrent đang chạy.

 

Các nhà nghiên cứu tại hãng bảo mật F5 ở Seattle cho biết, những kẻ tấn công đang quét trên Internet để tìm ra những máy tính chạy ứng dụng rTorrent, và sau đó khai thác lỗ hổng để cài đặt phần mềm đào đồng tiền mã hóa Monero.

 

Tính đến đầu tháng 03/2018, tổng cộng các ví điện tử của kẻ tấn công đã có khoảng 3,900 USD. Với tốc độ hiện tại, những kẻ tấn công đang tạo ra khoảng 43 USD/ngày. Kịch bản cuộc tấn công nhắm vào rTorrent nguy hiểm hơn so với uTorrent và Transmission, vì những kẻ tấn công có thể khai thác ứng dụng rTorrent mà không cần có sự can thiệp của người dùng. Ngược lại, các lỗ hổng trên uTorrent và Transmission chỉ có thể bị khai thác bằng những trang web người dùng thường xuyên truy cập.

 

Cách khai thác của Ormandy sử dụng một kỹ thuật có tên là Phục hồi lại DNS (Domain Name System rebinding) để tạo ra một tên miền Internet không đáng tin, được phân giải về địa chỉ IP nằm trên máy tính đang chạy ứng dụng BitTorrent có lỗ hổng. Nhà phát triển của rTorrent đã “đề nghị rõ ràng không sử dụng chức năng RPC qua các socket TCP.” Điều này chỉ ra rằng giao diện dễ bị tổn thương XML-RPC không được bật theo mặc định. Nhiều người dùng BitTorrent nhận thấy giao diện rất hữu ích, và giả sử chúng chỉ có thể bị điều khiển bởi ai đó truy cập trực tiếp vào máy tính đang chạy.

 

Vì nó dễ bị tác động bằng cuộc tấn công Phục hồi DNS hoặc các kỹ thuật hack khác làm vô hiệu giả định này, ít nhất là vì giao diện thiếu việc xác thực mật mã hoặc các biện pháp bảo mật sâu khác, hoặc vì chúng không được nhà phát triển cung cấp hay người dùng cuối cho phép.

 

Malware khai thác trên không chỉ chạy phần mềm đào tiền mã hóa gây tiêu tốn điện năng và sức mạnh điện toán. Nó còn quét các máy tính nhiễm malware để tìm kiếm các “thợ mỏ” đối địch, và nỗ lực loại bỏ đối thủ. Malware chỉ bị phát hiện bởi 3 trong số 59 nhà cung cấp phần mềm diệt virus hàng đầu. Nhưng con số đó sẽ sớm thay đổi trong tương lai. Jari Sundell, nhà phát triển rTorrent, cho biết: “Sẽ không có bản vá nào vì lỗ hổng là do việc thiếu kiến thức về những gì sẽ bị phơi bày khi chức năng RPC được bật, thay vì một lỗ hổng có thể sửa chữa được trong phần code. Cần luôn giả định rằng người dùng sẽ phải đảm bảo họ đã xử lý việc hạn chế truy cập một cách chính xác. “Không có “hành vi mặc định” nào trong rTorrent để bật RPC, và việc sử dụng các socket Unix cho RPC được khuyến khích. Sai sót có lẽ là vì tôi đã tạo ra một phần mềm rất linh hoạt, nhưng chưa hướng dẫn đủ tốt để người dùng thông thường hiểu được tất cả cạm bẫy có thể gặp phải.”

 

Những người dùng rTorrent nên kiểm tra lại máy tính một cách cẩn thận để biết các dấu hiệu nhiễm malware, bao gồm cả lượng băng thông và sức mạnh điện toán đang được tiêu thụ. Người dùng rTorrent cũng nên đảm bảo rằng họ đang làm theo lời khuyên của Sundell. Những người đang chạy các ứng dụng BitTorrent khác cũng nên thận trọng với giao diện RPC và tắt khi có thể.

552Vote
41Vote
332Vote
220Vote
125Vote
3.3130
Gửi ý kiến của bạn
Tắt
Telex
VNI
Tên của bạn
Email của bạn
Tạo bài viết
07 Tháng Năm 2019
Trong dark web, có hai chợ đen lớn nhất nơi những tên tội phạm ghé để mua ma túy, giấy tờ giả và công cụ hack thiết bị của người khác. Lớn nhất là Dream Market, đã bị triệt phá vào ngày 30/04/2019. Chỉ 4 ngày sau, chợ đen lớn thứ hai, Wall Street Market cũng đã bị Europol, cảnh sát Mỹ và Đức phối hợp đóng cửa. Các nhà chức trách đã tịch thu máy chủ cùng hơn 615,000 USD tiền mặt, và lượng tiền ảo Bitcoin và Monero có giá trị “6 chữ số”. Ba người Đức cũng đã bị bắt giữ.
07 Tháng Năm 2019
Khoảng đầu tháng 05/2019, Apple đã lên tiếng cảnh báo người dùng sử dụng iPhone không nhận những cuộc gọi có số điện thoại “của nhân viên Apple” trừ phi trước đó đã gửi yêu cầu hãng trợ giúp thông qua trang Apple online support. Điều đáng lo ngại là những cuộc gọi như vậy hiển thị được cả logo Apple, địa chỉ và đúng số điện thoại hỗ trợ khách hàng của họ. Thực tế, đây là một cách vô cùng kỳ công để đánh cắp tài khoản iCloud của người dùng iPhone.
06 Tháng Năm 2019
Cửa hàng Apple mới mở ở thư viện Carnegie, thủ đô Washington, Mỹ là dự án tham vọng nhất của Apple trong việc phục hồi các di tích lịch sử. Dự kiến cửa hàng Apple Store mới sẽ mở vào ngày 11/05/2019, tiêu tốn của Apple hơn 30 triệu USD. Tuy nhiên, CEO Tim Cook cho rằng mục tiêu của dự án không phải là giúp Apple bán được nhiều thiết bị hơn, ông thậm chí còn không muốn gọi nó là Apple Store: “Chúng tôi có lẽ sẽ nghĩ ra một cái tên khác để gọi những cửa hàng như vậy, vì nó giống như một địa điểm dành cho cộng đồng hơn là cửa hàng đơn thuần”.
06 Tháng Năm 2019
Hồi năm 2013, Apple đã đầu tư một khoản tiền lớn tới 578 triệu USD cho công nghệ màn hình sapphire. Số tiền sẽ được chi trả thành 4 lần cho công ty GT Advanced Technologies, thời điểm đó đang là đối tác cung cấp các miếng sapphire dành cho phím Home và camera của iPhone. Kế hoạch hướng tới mục đích sản xuất trên quy mô lớn loại vật liệu siêu cứng mới để cho màn hình iPhone, nhằm thay thế kính Gorilla Glass.
06 Tháng Năm 2019
Xu thế hiện tại của các nhà sản xuất smartphone và người dùng là một chiếc điện thoại có màn hình chiếm toàn bộ mặt trước. Bên cạnh thiết kế trượt (pop-up), “tai thỏ” (notch) hay “nốt ruồi” (Infinity-O), Samsung đang tìm giải pháp để ẩn hoàn toàn ẩn phần camera selfie này bên dưới màn hình, kiểu tương tự như cảm biến vân tay.
06 Tháng Năm 2019
Sự việc diễn ra vào ngày 04/05/2019, khi Lực lượng Quốc phòng Israel (IDF) tiến hành cuộc không kích vào một tòa nhà tại Dải Gaza. Trước đó, IDF đã tiến hành điều tra và phát hiện tòa nhà chính là trụ sở của nhóm hacker thuộc tổ chức Hamas, những kẻ đã tấn công vào không gian mạng của Chính phủ Israel. Tướng Brigadier cho biết: “Chúng tôi luôn đi trước chúng một bước. Thời điểm chúng cố gắng thực hiện điều gì đó, chúng tôi luôn kịp thời ngăn chặn”.