Tin tặc xâm nhập các nền tảng chia sẻ phổ biến, rao bán dữ liệu doanh nghiệp

[WhiteHat Team]

Một chiến dịch rò rỉ dữ liệu quy mô lớn làm dấy lên lo ngại trong cộng đồng an ninh mạng quốc tế, khi một tác nhân đe dọa có tên Zestix bị phát hiện rao bán dữ liệu nội bộ của hàng chục doanh nghiệp trên các diễn đàn ngầm. Theo các nhà nghiên cứu, dữ liệu này nhiều khả năng bị đánh cắp sau khi tin tặc xâm nhập vào các nền tảng chia sẻ tệp quen thuộc như ShareFile, Nextcloud và ownCloud (những dịch vụ đang được rất nhiều tổ chức sử dụng để lưu trữ và trao đổi tài liệu quan trọng).
​

​

Qua phân tích các quảng cáo bán dữ liệu, các chuyên gia xác định Zestix đang hoạt động với vai trò của một Initial Access Broker (IAB), tức là kẻ chuyên bán quyền truy cập ban đầu vào hệ thống doanh nghiệp cho các nhóm tấn công khác.

Zestix tuyên bố sở hữu dữ liệu bị đánh cắp từ nhiều tổ chức thuộc các lĩnh vực nhạy cảm như hàng không, quốc phòng, y tế, giao thông công cộng, viễn thông, năng lượng, bất động sản, pháp lý và cả cơ quan nhà nước. Dung lượng dữ liệu được rao bán dao động từ vài chục gigabyte đến nhiều terabyte, cho thấy mức độ xâm nhập không hề nhỏ lẻ.​

Lỗ hổng nằm ở đâu và nguyên nhân từ đâu?​

Khác với các vụ tấn công khai thác lỗi phần mềm cụ thể, chiến dịch này không xuất phát từ lỗ hổng kỹ thuật (CVE) trong ShareFile, Nextcloud hay ownCloud. Thay vào đó, nguyên nhân chính là lỗ hổng con người và quy trình bảo mật yếu kém, đặc biệt liên quan đến việc quản lý thông tin đăng nhập.

Theo Hudson Rock, quyền truy cập ban đầu nhiều khả năng được lấy từ các thông tin đăng nhập bị đánh cắp bởi mã độc đánh cắp dữ liệu (infostealer) như RedLine, Lumma và Vidar. Những loại mã độc này thường lây lan qua quảng cáo độc hại hoặc các chiến dịch ClickFix, âm thầm thu thập dữ liệu nhạy cảm trên máy tính nhân viên.

Infostealer thường nhắm tới:​

• Tài khoản và mật khẩu lưu trong trình duyệt​
• Thông tin thẻ thanh toán​
• Dữ liệu cá nhân​
• Nội dung từ ứng dụng nhắn tin​
• Ví tiền điện tử​

Đáng chú ý, Hudson Rock phát hiện nhiều thông tin đăng nhập đã tồn tại trong cơ sở dữ liệu tội phạm suốt nhiều năm nhưng vẫn còn hiệu lực. Điều này cho thấy nhiều tổ chức không thay đổi mật khẩu định kỳ, không thu hồi phiên đăng nhập cũ, và đặc biệt là không bật xác thực đa yếu tố (MFA) cho các dịch vụ quan trọng.​

Cơ chế xâm nhập và khai thác diễn ra như thế nào?​

Quá trình tấn công diễn ra theo một chuỗi khá “đơn giản” nhưng hiệu quả:

Đầu tiên, máy tính của nhân viên bị nhiễm infostealer, dẫn đến việc thông tin đăng nhập dịch vụ chia sẻ tệp bị thu thập và đưa lên các chợ dữ liệu ngầm. Sau đó, Zestix thu thập các log infostealer này, lọc ra những tài khoản liên quan đến ShareFile, Nextcloud và ownCloud.

Khi phát hiện một tài khoản doanh nghiệp không bật MFA, kẻ tấn công chỉ cần dùng tên đăng nhập và mật khẩu hợp lệ để truy cập trực tiếp vào hệ thống lưu trữ đám mây của tổ chức. Từ đây, chúng có thể tải về toàn bộ dữ liệu mà tài khoản đó có quyền truy cập, gần như không để lại dấu hiệu xâm nhập rõ ràng.

Các chuyên gia đã xác minh ít nhất 15 trường hợp, trong đó thông tin đăng nhập của nhân viên các tổ chức bị thu thập trực tiếp bởi infostealer. Việc đối chiếu được thực hiện bằng cách kết hợp dữ liệu tội phạm với hình ảnh công khai, metadata và thông tin nguồn mở (OSINT). Tuy nhiên, công ty cũng nhấn mạnh rằng chưa có xác nhận chính thức từ các doanh nghiệp bị nêu tên, ngoại trừ một số trường hợp đang được nghi vấn.​

Dữ liệu bị rao bán nguy hiểm đến mức nào?​

Các dữ liệu bị đánh cắp bao gồm:​

• Tài liệu bảo trì và dữ liệu đội bay​
• Hồ sơ kỹ thuật quốc phòng và kỹ thuật công nghiệp​
• Cơ sở dữ liệu khách hàng và hồ sơ y tế​
• Sơ đồ giao thông công cộng và hạ tầng đô thị​
• Bản đồ LiDAR của hệ thống tiện ích​
• Cấu hình mạng ISP và dữ liệu dự án vệ tinh​
• Mã nguồn ERP, hợp đồng chính phủ và tài liệu pháp lý​

Nếu những dữ liệu này là thật, hậu quả có thể vượt xa một vụ rò rỉ thông tin thông thường. Doanh nghiệp có thể đối mặt với nguy cơ gián điệp công nghiệp, vi phạm quy định bảo vệ dữ liệu, thiệt hại tài chính nghiêm trọng và mất uy tín. Đối với các hợp đồng và tài liệu chính phủ, rủi ro thậm chí có thể ảnh hưởng tới an ninh quốc gia.​

Phạm vi và mức độ ảnh hưởng​

Ngoài các nạn nhân đã được phân tích, các chuyên gia còn phát hiện thêm khoảng 30 tổ chức khác được Zestix rao bán dưới bí danh “Sentap”, dù chưa được xác minh đầy đủ. Đáng lo ngại hơn, dữ liệu tình báo của công ty cho thấy đây không phải vấn đề cá biệt mà là hệ quả của một tình trạng mang tính hệ thống. Hàng nghìn máy tính bị nhiễm infostealer, bao gồm cả thiết bị được cho là thuộc về nhân viên các tập đoàn lớn như Deloitte, KPMG, Samsung, Honeywell và Walmart. Điều này cho thấy rủi ro từ infostealer và quản lý danh tính yếu kém đang lan rộng trong nhiều ngành nghề.​

Khuyến nghị từ chuyên gia an ninh mạng​

Các chuyên gia an ninh mạng nhấn mạnh rằng những vụ việc như trên hoàn toàn có thể phòng tránh, nếu tổ chức tuân thủ các nguyên tắc bảo mật cơ bản. Trong đó, cần đặc biệt lưu ý:​

• Bắt buộc kích hoạt xác thực đa yếu tố (MFA) cho tất cả nền tảng chia sẻ tệp và dịch vụ đám mây​
• Thực hiện xoay vòng mật khẩu định kỳ và thu hồi các phiên đăng nhập cũ​
• Giám sát và phát hiện sớm máy tính nhiễm infostealer trong nội bộ​
• Đào tạo nhân viên về nguy cơ từ quảng cáo độc hại và các chiêu thức ClickFix​
• Theo dõi các nguồn tình báo mối đe dọa để kịp thời phát hiện dấu hiệu lộ thông tin đăng nhập​

Vụ việc liên quan đến Zestix cho thấy rò rỉ dữ liệu không nhất thiết phải bắt đầu từ lỗ hổng phần mềm phức tạp mà có thể xuất phát từ những sơ suất rất cơ bản trong quản lý danh tính và bảo mật người dùng. Khi thông tin đăng nhập bị đánh cắp nhưng không được phát hiện, không bị vô hiệu hóa và không có lớp bảo vệ bổ sung như MFA, toàn bộ hệ thống doanh nghiệp có thể bị mở toang chỉ bằng một lần đăng nhập hợp lệ. Trong bối cảnh infostealer ngày càng phổ biến và hoạt động mua bán truy cập ban đầu ngày càng chuyên nghiệp, các tổ chức cần nhìn nhận lại cách bảo vệ tài khoản người dùng của mình.​

WhiteHat​