Zestix và chiêu trò biến kho dữ liệu tỷ đô thành "tiệm tạp hóa" giá rẻ

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
122
1.479 bài viết
Zestix và chiêu trò biến kho dữ liệu tỷ đô thành "tiệm tạp hóa" giá rẻ
WhiteHat Team
Quên những bộ phim về siêu hacker đột nhập vào hệ thống phòng thủ đa tầng của chính phủ đi vì thực tế phũ phàng hơn nhiều khi một gã môi giới tên Zestix đang biến kho dữ liệu của hàng loạt tập đoàn tỷ đô thành một cái "tiệm tạp hóa" đúng nghĩa. Chẳng cần những kỹ thuật bẻ khóa viễn tưởng hay mật mã phức tạp thì Zestix vẫn thản nhiên khuân sạch hàng Terabyte dữ liệu nhạy cảm từ các nền tảng ShareFile hay Nextcloud và OwnCloud. Báo cáo từ Hudson Rock cho thấy đây không phải là một chiến tích lẫy lừng về công nghệ mà thực chất là một cái tát thẳng mặt vào sự cẩu thả đến nực cười trong khâu quản trị bảo mật của những đế chế hàng đầu thế giới.
cloud.png

Kịch bản của những vụ mất trộm này bắt đầu bằng một cú click chuột định mệnh của nhân viên vào những quảng cáo độc hại hoặc các thông báo lỗi giả mạo mang tên ClickFix. Tại đây thì những sát thủ thầm lặng như RedLine hay Lumma và Vidar sẽ lập tức bám rễ trên thiết bị để âm thầm "vét sạch" mọi thông tin từ trình duyệt cho đến ví tiền điện tử. Thay vì phải tốn công phá cửa thì tin tặc chỉ việc dùng chính danh tính hợp lệ của nhân viên để đàng hoàng bước vào hệ thống và lục lọi "kho báu". Sự việc trở nên bi hài hơn khi Hudson Rock phát hiện ra nhiều bộ thông tin đăng nhập đã trôi nổi trên chợ đen hàng năm trời nhưng doanh nghiệp vẫn chưa một lần yêu cầu đổi mật khẩu khiến những kẻ gian có thể vào ra như đi chợ.

Đi sâu vào phương thức gây án thì các chuyên gia đã lật tẩy quy trình "săn mồi" cực kỳ bài bản của Zestix. Sau khi parsing các tệp nhật ký khổng lồ từ mã độc infostealer thì kẻ tấn công sẽ đặc biệt lọc ra các URL nội bộ của doanh nghiệp dẫn tới những kho lưu trữ ShareFile hay Nextcloud để tìm điểm yếu. Chỉ cần xác thực đa yếu tố MFA không được kích hoạt thì những cặp tên đăng nhập và mật khẩu hợp lệ sẽ trở thành tấm thẻ thông hành để chúng thâm nhập trái phép. Hudson Rock thậm chí đã xác định được các điểm xâm nhập tiềm năng bằng cách đối chiếu dữ liệu đánh cắp với các siêu dữ liệu và thông tin nguồn mở có sẵn trên mạng để khẳng định rằng trong ít nhất 15 trường hợp được phân tích thì thông tin đăng nhập của nhân viên đã bị lọt hoàn toàn vào tay tin tặc.
1767842121397.png

Một số mặt hàng Zestix chào bán trên diễn đàn ngầm
Nguồn: Hudson Rock

Vậy tại sao những đế chế hàng đầu lại dễ tổn thương đến thế? Câu trả lời nằm ở một chuỗi thất bại hệ thống bắt đầu từ việc nhân viên thản nhiên "vượt rào" dựng lên những kho lưu trữ ngoài luồng để làm việc cho tiện bất chấp mọi quy chuẩn bảo mật. Trong khi đó thì các hệ thống phòng thủ đắt tiền dường như cũng đã "ngủ quên" khi để mặc mã độc tung hoành trên máy tính nhân viên mà không hề có một tiếng còi báo động nào. Sự hớ hênh còn tiếp diễn khi việc quản lý phiên làm việc lỏng lẻo đến mức tin tặc chỉ cần trộm được Cookie là có thể "định cư" gần như vĩnh viễn trong hệ thống mà không cần đăng nhập lại. Tất cả những yếu tố đó kết hợp với việc đào tạo nhận thức an ninh mạng theo kiểu "cưỡi ngựa xem hoa" đã biến những nhân viên mẫn cán nhất thành những người tiếp tay đắc lực cho kẻ xấu.
1767842138148.png

Quy mô và loại dữ liệu bị lộ
Nguồn: Hudson Rock

Danh mục "hàng hóa" mà Zestix đưa lên sàn thực sự là một "vũ khí hủy diệt" đối với uy tín và sự sinh tồn của doanh nghiệp khi bao gồm từ sơ đồ bảo trì máy bay và dữ liệu hạm đội cho tới các bản thiết kế kỹ thuật phòng thủ nhạy cảm nằm trong các thư mục chia sẻ nội bộ. Mức độ ảnh hưởng còn khủng khiếp hơn khi hàng loạt hồ sơ bệnh án cá nhân cùng cơ sở dữ liệu khách hàng và mã nguồn hệ thống quản trị "ERP" bị rao bán công khai. Những thông tin này không chỉ tiếp tay cho các chiến dịch gián điệp công nghiệp mà còn đe dọa trực tiếp đến an ninh quốc gia thông qua các hợp đồng chính phủ tối mật.

Cơn địa chấn này réo tên cả những gã khổng lồ như Samsung, Deloitte, KPMG, Honeywell và Walmart khi dấu vết nhiễm mã độc bị tìm thấy trên thiết bị nhân viên. Đáng ngại hơn, các nhà nghiên cứu còn phát hiện thêm danh sách 30 nạn nhân khác đang bị rao bán dưới bí danh Sentap, dù nhóm này chưa được xác thực kỹ lưỡng nhưng nó cho thấy quy mô của thảm họa có thể còn lớn hơn nhiều so với những gì chúng ta đang thấy.

Tuy nhiên cần lưu ý rằng đây là những xác minh đơn phương từ phía công ty an ninh mạng và hiện vẫn chưa có xác nhận chính thức nào về việc vi phạm từ các tập đoàn bị liệt kê ngoại trừ trường hợp của hãng hàng không Iberia với một thông báo rò rỉ gần đây. Dù thực hư ra sao thì đây vẫn là gáo nước lạnh dội vào lòng tự trọng của giới bảo mật doanh nghiệp và nhắc nhở rằng một bức tường lửa nghìn đô cũng trở nên vô nghĩa nếu hệ thống vẫn dùng những chiếc chìa khóa vạn năng không có lớp bảo vệ.
Tổng hợp
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Tọa đàm chuyển đổi số ngành du lịch và phát triển đô thị thông minh tỉnh Khánh Hòa
  • Vishing lộng hành - Lừa đảo qua điện thoại, nhiều nạn nhân bị thao túng rơi vào bẫy
  • Mong các anh chị chỉ cách tố cáo và bảo vệ khỏi lừa đảo
  • Những chiêu thức đánh cắp tài khoản Telegram và cách phòng chống
  • Hacker và một số thuật ngữ chuyên ngành phổ biến
  • Triển khai PoC Validating Jenkins cho lỗ hổng CVE-2024-23897
    • Thẻ
    breach clickfix cloud security cookie hijacking data broker infostealer malware mật khẩu rò ri dữ liệu sharefile
    Bên trên