Gã khổng lồ công nghệ Google vừa đệ đơn kiện những kẻ đứng sau BadBox 2.0, một mạng lưới botnet khổng lồ với hơn 10 triệu thiết bị Android kết nối. Mạng lưới này đã bị lợi dụng để thực hiện các hành vi gian lận quảng cáo quy mô lớn và các chiêu trò lừa đảo trực tuyến khác, thậm chí có khả năng thực hiện các cuộc tấn công nguy hiểm hơn như ransomware và từ chối dịch vụ phân tán (DDoS).
Google đã công khai vụ kiện này vào tuần vừa rồi, sau khi đệ đơn lên Tòa án Liên bang ở New York vào ngày 11 tháng 7. Vụ kiện nhắm vào hơn hai chục tổ chức và cá nhân ở Trung Quốc, với mục tiêu triệt phá mạng lưới botnet này và những kẻ điều hành nó.
Trong đơn kiện, Google cho biết BadBox 2.0 đã là “mạng lưới botnet lớn nhất được biết đến gồm các thiết bị TV kết nối internet”, gây ảnh hưởng đến hàng triệu nạn nhân ở Hoa Kỳ và trên toàn thế giới. Hơn nữa, nó vẫn đang tiếp tục phát triển và đe dọa đến nhiều người hơn.
BadBox 2.0 nguy hiểm hơn nhiều so với phiên bản tiền nhiệm là BadBox, vốn được phát hiện vào năm 2022 và đã bị các cơ quan thực thi pháp luật Đức triệt phá vào năm ngoái.
Phạm vi rộng lớn của các thiết bị bị xâm nhập
Theo cảnh báo của FBI vào tháng trước, mạng lưới botnet này bao gồm nhiều loại thiết bị, từ thiết bị phát trực tuyến TV, máy chiếu kỹ thuật số đến hệ thống thông tin giải trí trên xe hơi và khung ảnh kỹ thuật số. Các thiết bị không được chứng nhận này chạy phần mềm Android Open Source Project, vốn thiếu các biện pháp bảo vệ an ninh của Google, tạo cơ hội cho kẻ xấu xâm nhập.
Những kẻ tấn công đã cài đặt sẵn phần mềm độc hại trên các thiết bị này (phần lớn được sản xuất tại Trung Quốc), khiến chúng dễ bị lôi kéo vào mạng lưới botnet. Cơ sở hạ tầng được sử dụng để vận hành BadBox 2.0 cũng sử dụng nhiều cửa hậu (backdoor) để giành quyền truy cập liên tục vào các thiết bị và mạng, đồng thời có thể lây nhiễm thêm cho các thiết bị bằng cách yêu cầu tải xuống các ứng dụng độc hại trên các chợ ứng dụng không chính thức.
Các cửa hậu này được cài đặt sẵn trên thiết bị, lấy từ máy chủ điều khiển và chỉ huy (C2), hoặc được người dùng tải xuống từ các chợ trực tuyến của bên thứ ba mà không hề hay biết.
Hơn nữa, những kẻ đe dọa có thể bán quyền truy cập vào các mạng gia đình bị xâm nhập để sử dụng cho nhiều hoạt động tội phạm khác nhau.
Kiểm soát hoàn toàn
HUMAN Security đã viết về BadBox 2.0 vào tháng 3 và phối hợp với Google, Trend Micro, Shadowserver và các nhà cung cấp khác để phá vỡ mạng botnet này.
Nhóm Nghiên cứu và Tình báo về Mối đe dọa Satori của HUMAN cho biết: “BADBOX 2.0, giống như BADBOX và các cuộc tấn công khác, phản ánh nỗ lực của tội phạm mạng nhằm vào mọi giai đoạn trong hành trình của khách hàng. Những kẻ lừa đảo trong hoạt động này đã tấn công hệ sinh thái quảng cáo kỹ thuật số, xâm phạm hành trình từ quảng cáo đến trang web, lạm dụng cổng đăng nhập thông qua khả năng proxy dân cư và khai thác các thiết bị có cửa hậu như một mạng botnet”.
Nhóm tình báo này cho biết thêm, mạng botnet cho thấy những kẻ xấu đã thay đổi mục tiêu và chiến thuật như thế nào sau khi BadBox bị phá vỡ vào năm 2023. “Cuộc tấn công này chủ yếu tập trung vào các thiết bị Android Open Source Project giá rẻ, ‘ngoài luồng’ và không được chứng nhận với một cửa hậu. Các thiết bị có cửa hậu này cho phép những kẻ đe dọa truy cập để khởi động các chương trình gian lận thuộc nhiều loại khác nhau”.
Nhiều nhóm bị kiện
Trong đơn khiếu nại của mình, Google nhắm mục tiêu vào nhiều nhóm mà họ cho là đã đóng vai trò khác nhau trong hoạt động của BadBox 2.0, bao gồm Nhóm Cơ sở hạ tầng (Infrastructure Group), nhóm đã thiết lập và quản lý cơ sở hạ tầng C2 chính và Nhóm Phần mềm độc hại Cửa hậu (Backdoor Malware Group), chịu trách nhiệm phát triển và cài đặt sẵn phần mềm độc hại cửa hậu BB2DOOR trong các bot.
Nhóm Evil Twin tạo ra các phiên bản “song sinh ác quỷ” của các ứng dụng hợp pháp trên Cửa hàng Google Play, đây là một phần của chiến dịch gian lận quảng cáo bao gồm khởi chạy các trình duyệt web ẩn tải quảng cáo ẩn. Tương tự, Nhóm Ad Games sử dụng các trò chơi giả mạo để tạo quảng cáo.
Các thiết bị bị nhiễm đã được phát hiện ở hơn 200 quốc gia, phần lớn được tìm thấy ở Hoa Kỳ, Mexico, Brazil, Argentina và Colombia.
Google đang cáo buộc các nhóm này vi phạm Đạo luật Lạm dụng và Gian lận Máy tính và Đạo luật RICO.
Giải thích thuật ngữ:
- Botnet: Một mạng lưới các máy tính bị nhiễm phần mềm độc hại và được điều khiển từ xa bởi một kẻ tấn công.
- Ransomware: Một loại phần mềm độc hại mã hóa dữ liệu của nạn nhân và đòi tiền chuộc để giải mã.
- DDoS (Từ chối dịch vụ phân tán): Một cuộc tấn công làm gián đoạn dịch vụ trực tuyến bằng cách làm ngập máy chủ bằng lưu lượng truy cập lớn.
- Android Open Source Project: Hệ điều hành Android mã nguồn mở, cho phép các nhà sản xuất tùy chỉnh và sử dụng miễn phí.
- Cửa hậu (Backdoor): Một phương thức bí mật để vượt qua các biện pháp bảo mật thông thường và truy cập vào hệ thống.
- Máy chủ điều khiển và chỉ huy (C2): Máy chủ mà kẻ tấn công sử dụng để điều khiển và chỉ huy các thiết bị bị nhiễm trong mạng botnet.
- Đạo luật Lạm dụng và Gian lận Máy tính (Computer Fraud and Abuse Act): Một đạo luật liên bang của Hoa Kỳ cấm các hoạt động liên quan đến gian lận và lạm dụng máy tính.
- Đạo luật RICO (Racketeer Influenced and Corrupt Organizations Act): Một đạo luật liên bang của Hoa Kỳ nhắm vào tội phạm có tổ chức.
