Một cuộc chiến dịch độc hại nhằm vào trung tâm dữ liệu đã bị đánh cắp thông tin đăng nhập của vài công ty lớn nhất thế giới, bao gồm: Amazon, Apple, Goldman Sachs và Microsoft
Theo như công ty an ninh mạng Resecurity, các cuộc tấn công mạng nhắm vào nhiều trung tâm dữ liệu ở một số khu vực trên toàn cầu đã được quan sát hơn một năm rưỡi, dẫn đến việc các thông tin bị đánh cắp liên quan đến một số công ty lớn nhất thế giới và được đăng tải thông tin đăng nhập truy cập trên Dark Web.
“Hoạt động mạng độc hại nhắm vào trung tâm dữ liệu của các tổ chức, tạo ra một tiền lệ quan trọng trong bối cảnh an ninh mạng chuỗi cung ứng”, Resecurity cho biết trong một bài đăng trên blog. Resecurity không hy vọng những kẻ tấn công sẽ tăng cường hoạt động mạng độc hại liên quan đến các trung tâm dữ liệu và khách hàng của họ.
Bộ phận bảo mật không nêu tên các nạn nhân, nhưng theo một báo cáo riêng từ Bloomberg,các cuộc tấn công mạng đã đánh cắp thông tin đăng nhập trung tâm dữ liệu từ các tập đoàn lớn bao gồm Alibaba, Amazon, Apple, BMW, Goldman Sachs, Huawei Technologies, Microsoft và Walmart. Bloomberg cho biết họ đã xem xét các tài liệu bảo mật liên quan đến hoạt động độc hại.
Resecurity lần đầu tiên cảnh báo các trung tâm dữ liệu về một chiến dịch độc hại vào tháng 9 năm 2021, với các bản cập nhật tiếp theo về 2 chương khác trong năm 2022 và tháng 1 năm 2023. Mục tiêu của hoạt động này là đánh cắp dữ liệu nhạy cảm từ các doanh nghiệp và tổ chức chính phủ là khách hàng của các trung tâm dữ liệu.
Gần đây nhất, các dữ liệu đăng nhập liên quan đến các tổ chức và có trong các giai đoạn khác nhau của chiến dịch độc hại đã được tung lên các diễn đàn ngầm Breached.to và được phát hiện bởi những nhà nghiên cứu dữ liệu vào hôm thứ 2.
Một số đoạn bộ nhớ đệm dữ liệu cụ thể đó cũng được chia sẻ bởi các tin tặc trên Telegram.
Bộ phận bảo mật đã xác định một số tác nhân trên dark web, có khả năng chủ yếu bắt nguồn từ khu vực Châu Á. Những người này trong quá trình thực hiện chiến dịch, được quyền truy cập vào hồ sơ khách hàng và trích xuất chúng từ một hoặc nhiều cơ sở dữ liệu, liên quan đến các ứng dụng và hệ thống cụ thể để sử dụng bởi trung tâm dữ liệu của các tổ chức.
Ít nhất một trong các trường hợp, quyền truy cập ban đầu có khả năng đạt được thông qua bộ phận hỗ trợ hoặc quản lý mô-đun được tích hợp các ứng dụng và các hệ thống khác, cho phép tin tặc thực hiện hành động ngang quyền với người quản lý.
Resecurity cho biết, tin tặc đã có thể trích xuất danh sách các camera, có số nhận luồng video liên quan được sử dụng để giám sát môi trường xung quanh trung tâm dữ liệu, cũng như thông tin xác thực liên quan đến các nhân viên IT và khách hàng của họ.
Sau khi đã thu thập được thông tin đăng nhập, tin tặc đã thực hiện thăm dò tích cực để thu thập thông tin về các khách hàng doanh nghiệp, quản lý hoạt động tại trung tâm dữ liệu của họ, danh sách các dịch vụ, thiết bị đã mua và triển khai.
Vào tháng 9 năm 2021, khi chiến dịch lần đầu tiên bắt đầu và được quan sát bởi các nhà nghiên cứu Resecurity, tin tặc tham gia vào đợt đó đã có nhiều các bản ghi dữ liệu khách hàng, hơn 2000 thông tin khách hàng có trong trung tâm dữ liệu. Chúng bao gồm thông tin đăng nhập, email, số điện thoại và thẻ định danh cá nhân, có khả năng được sử dụng cho các cơ chế xác minh khách hàng nhất định (trong khoảng 24 tháng 1 năm 2023, các tổ chức bị ảnh hưởng đã yêu cầu khách hàng của họ thay đổi mật khẩu).
Resecurity cho biết, kẻ tấn công cũng có thể xâm phạm một trong các tài khoản email nội bộ được sử dụng để đăng ký tài khoản khách đăng nhập, tài khoản này sau đó có thể được sử dụng cho hoạt động gián điệp qua mạng hoặc các mục đích xấu khác.
Trong lần quan sát thứ 2 của chiến dịch, vào năm 2022, kẻ gian đã lọc ra dữ liệu cơ sở của khách hàng được cho là chứa 1210 bản ghi từ trung tâm dữ liệu của một tổ chức có trụ sở tại Singapore.
Giai đoạn thứ 3 của chiến dịch, được phát hiện vào đầu tháng 1 năm nay, có sự tham gia của một tổ chức ở Hoa Kỳ, là khách hàng của một trong những trung tâm dữ liệu bị ảnh hưởng trước đó. “Thông tin về phần này vẫn còn khá hạn chế so với 2 phần trước đó, nhưng Resecurity có thể thu thập một số thông tin đăng nhập được sử dụng bởi nhân viên IT đã cấp quyền truy cập và cổng thông tin khách hàng ở một trung tâm dữ liệu khác”, Resecurity cho biết.
Sau đó, vào ngày 28 tháng 1, các thông tin dữ liệu bị đánh cắp trong chiến dịch được rao bán ở trên một cộng đồng ngầm trên dark web có tên là Ramp, thường được sử dụng bởi các nhà môi giới truy cập ban đầu và các nhóm Ransomware.
“Kẻ tấn công rất có thể đã nhận ra rằng hành động của mình có thể bị phát hiện và giá trị của dữ liệu có thể giảm theo thời gian, đó là lý do tại sao ý tưởng kiếm tiền ngay lập tức là một bước được mong đợi”. Resecurity cho biết, đồng thời cho biết thêm là có những lý do khác dẫn đến việc kết xuất dữ liệu. “Các chiến thuật như vậy thường được các tác nhân gây hại đến quốc gia sử dụng để che giấu hoạt động của họ, điển hình để làm mở động cơ tấn công”.
Mặc dù Resecurity không nêu tên được các trung tâm dữ liệu đã được xác định trong vụ tấn công, nhưng Bloomberg đã xác nhận trong vụ tấn công GDS Holdings có trụ sở tại Thượng Hải và trung tâm dữ liệu toàn cầu ST Telemedia có trụ sở tại Singapore nằm trong số các tổ chức nạn nhân.
GDS Holdings đã thừa nhận rằng trang web hỗ trợ khách hàng đã vi phạm vào năm 2021, nhưng họ nói rằng không có rủi ro nào đối với hệ thống hoặc dữ liệu của khách hàng, Bloomberg đưa tin. ST Telemedia cũng cho biết không có rủi ro với khách hàng.
Các tổ chức được xác định trong bộ phận dữ liệu bị rò rỉ là các tổ chức tài chính có sự hiện diện toàn cầu cũng như các quỹ đầu tư, công ty nghiên cứu sinh vật, nhà cung cấp công nghệ, trang web thương mại điện tử, dịch vụ đám mây, ISP và các công ty mạng phân phối nội dung. Theo các nhà nghiên cứu, các công ty có trụ sở tại Mỹ, Anh, Canada, Úc, Thuỵ Sĩ, New Zealand và Trung Quốc.
Resecurity chưa xác định được bất kỳ nhóm APT (mối đe doạ liên tục nâng cao) nào chịu trách nhiệm cho các cuộc tấn công. Các nhà nghiên cứu lưu ý rằng có thể các nạn nhân đều có thể bị xâm phạm bởi nhiều tác nhân khác nhau.
Mặt khác, việc lựa chọn RAMP làm thị trường cung cấp dữ liệu đã mang lại số khách hàng tiềm năng, Resecurity cho biết. RAMP hiện tại đã thêm hỗ trợ ngôn ngữ Trung Quốc và hoan nghênh các tin tặc sử dụng và nói tiếng Trung Quốc tham gia.
“Phần lớn các phần của diễn đàn đều có bản dịch của tiếng Trung Quốc và đó là nơi chúng tôi có thể xác định nhiều tác nhân có nguồn gốc từ Trung Quốc và các quốc gia có trụ sở tại Đông Nam Á”, Resecurity cho biết.
Thông tin về các hoạt động độc hại này đã được chia sẻ với các bên bị ảnh hưởng và các nhóm ứng phó máy tính khẩn cấp quốc gia (CERT) ở Trung Quốc và Singapore. Công ty nghiên cứu cũng chia sẻ thông tin với cơ quan thực thi phát luật Hoa Kỳ vì có một lượng thông tin đáng kể liên quan đến các tập đoàn lớn trong danh sách Fortune 500 trong bộ dữ liệu.
Ngọc Anh - Phòng Kỹ Thuật VnPro