Nhóm FortiGuard Labs mới đây đã phát hiện RustoBot, một loại botnet mới được viết bằng ngôn ngữ Rust – vốn được biết đến với khả năng an toàn bộ nhớ và hiệu năng cao. RustoBot khai thác các lỗ hổng trong thiết bị router TOTOLINK và DrayTek, nhắm đến hạ tầng công nghệ tại các quốc gia như Nhật Bản, Đài Loan, Việt Nam và Mexico.
Điểm nổi bật của chiến dịch này là việc sử dụng ngôn ngữ Rust, cho phép mã độc hoạt động hiệu quả, đồng thời tăng độ khó trong phân tích và phòng ngừa nhờ cơ chế mã hóa XOR và thao tác với Global Offset Table (GOT). RustoBot khai thác các lỗ hổng nghiêm trọng trong một số dòng router TOTOLINK và DrayTek, cho phép kẻ tấn công điều khiển thiết bị từ xa. Sau khi chiếm quyền, chúng cài đặt mã độc và duy trì kết nối với máy chủ điều khiển (C2).
Điểm nguy hiểm của RustoBot nằm ở khả năng ẩn mình và linh hoạt. Mã độc này hỗ trợ nhiều loại thiết bị khác nhau, sử dụng các kỹ thuật mã hóa và ngụy trang để tránh bị phát hiện. Đặc biệt, nó dùng DNS-over-HTTPS để truy cập Internet, khiến lưu lượng mạng của nó giống như truy cập web thông thường. Khi nhận lệnh từ C2, RustoBot có thể thực hiện tấn công từ chối dịch vụ (DDoS) bằng nhiều giao thức như TCP, UDP hoặc IP thô. Đây là kiểu tấn công khiến hệ thống mục tiêu quá tải và không thể hoạt động bình thường.
Chiến dịch RustoBot chủ yếu nhắm vào các thiết bị TOTOLINK như N600R, A830R, A3100R… và một số model DrayTek như Vigor2960. Với việc tận dụng Rust – một ngôn ngữ ít được sử dụng trong mã độc nhưng có độ tin cậy cao – chiến dịch cho thấy bước tiến về mặt kỹ thuật và xu hướng mới trong tấn công hạ tầng mạng. Fortinet cảnh báo rằng thiết bị mạng và IoT, do thiếu khả năng giám sát và bảo vệ hiệu quả, đang trở thành mục tiêu lý tưởng cho các chiến dịch kiểu này.
Fortinet khuyến nghị các tổ chức cần cập nhật bản vá, kiểm tra hệ thống thường xuyên, và giám sát lưu lượng mạng, đặc biệt là các dấu hiệu bất thường như DNS-over-HTTPS hay cập nhật firmware lạ, để phát hiện và ngăn chặn kịp thời.
