Lapsus$, nhóm tin tặc đứng sau vụ tấn công Microsoft

Nhóm hacker ‘khét tiếng’ nhất năm 2022 gọi tên Lapsus$ khi chúng liên tục thực hiện các vụ tấn công mạng nhằm vào những mục tiêu cao cấp.

Lapsus$ được cho là nguy cơ lớn nhất đối với các doanh nghiệp trong năm 2022. Hàng loạt các tên tuổi lớn như Microsoft, Nvidia, Okta, LG… thừa nhận là nạn nhân của Lapsus$ chỉ trong vòng 3 tháng. Dù tháng 3 sắp kết thúc, người ta vẫn biết rất ít về nhóm này.

Không giống với các tin tặc thành công khác thời gian gần đây, Lapsus$ tỏ ra độc đáo vì không dùng mã độc tống tiền mà sử dụng các phương thức khác để đòi tiền mục tiêu. Sau vụ tấn công vào công ty định danh Okta, nhóm thông báo tạm thời “rửa tay gác kiếm” vì có vài thành viên đi… nghỉ mát đến hết tháng.

{keywords}
 

Ai đứng sau Lapsus$?

Theo chuyên gia bảo mật Marcus Hutchins, Lapsus$ là nhóm tin tặc “vừa hoàn hảo vừa không”. Một mặt, chúng nhận trách nhiệm của nhiều vụ tấn công vào các mục tiêu cao cấp mà ngay cả những băng nhóm tội phạm mạng giàu kinh nghiệm khác cũng không đụng tới. Một mặt, chúng tỏ ra khinh suất trong hoạt động. Thay vì ẩn mình trong bóng tối, chúng lại quảng cáo hoạt động của mình trên kênh Telegram và thậm chí cung cấp một kênh để bầu chọn rò rỉ dữ liệu nào tiếp theo.

Hutchins cho rằng “chúng dường như chỉ là trẻ con nhưng lại nhận trách nhiệm tấn công các công ty hàng đầu”. Nhà nghiên cứu bảo mật Bill Demirkapi cũng đồng tình. Lapsus$ khoe khoang về việc đã tiếp cận được máy chủ nội bộ của Microsoft trong khi vẫn đang trích xuất mã nguồn của hãng.

Hãng bảo mật Check Point nói hacker đến từ Bồ Đào Nha và Brazil. Vụ xâm phạm lớn đầu tiên xảy ra vào tháng 12/2021, nhằm vào Bộ Y tế Brazil và các tổ chức chính phủ khác. Một báo cáo khác từ Bloomberg gợi ý toàn bộ hoạt động do một thiếu niên 16 tuổi tại Anh cầm đầu, còn các thành viên khác sống tại Anh, Brazil.

Nhà hành pháp Anh đã bắt giữ 7 người vào ngày 24/3 do liên quan đến nhóm Lapsus$. Những người bị bắt trong độ tuổi 16 đến 21, đều được thả ra nhưng cấm rời khỏi nơi cư trú.

Cách thức hoạt động

Nghiên cứu của Microsoft tháng 3/2022 nêu chi tiết cuộc điều tra của hãng với nhóm hacker này, tiết lộ cách thức hoạt động của nhóm và làm thế nào chúng xâm nhập các tổ chức lớn trên thế giới. Dù không nêu tên người đứng sau, Microsoft nhận định Lapsus$ dựa trên mô hình phá hoại và tống tiền thuần túy. Các phương thức tấn công mà chúng sử dụng rất đa dạng, phức tạp. Nhận thức của chúng dường như không tương xứng với mức độ thành thạo và tinh vi khi tấn công.

Lapsus$ sử dụng phương pháp tấn công phi kỹ thuật (social engineering) giúp hacker nắm được thông tin về nhân viên và công ty. Mục tiêu của nhóm là quyền truy cập doanh nghiệp thông qua các thông tin đăng nhập bị đánh cắp, tạo điều kiện để đánh cắp dữ liệu và tấn công phá hoại.

Để có được quyền truy cập, Lapsus$ vận dụng nhiều cách khác nhau, bao gồm triển khai trình đánh cắp mật khẩu Redline, tìm kiếm kho lưu trữ mã công khai để tìm thông tin đăng nhập bị lộ; mua thông tin đăng nhập qua môi giới; hay đơn giản nhất là trả tiền cho nhân viên công ty.

Nhóm sử dụng giao thức desktop từ xa (RDP) và hạ tầng desktop ảo (VDI) như Citrix để truy cập môi trường của một doanh nghiệp. Chúng vượt qua xác thực đa yếu tố (MFA) bằng những kỹ thuật như spam chủ tài khoản chính chủ bằng lời nhắc MFA sau khi đánh cắp mật khẩu của họ. Trong một đoạn chat trên Telegram, hacker cho biết gửi spam lời nhắc MFA trong khi nhân viên đang ngủ là cách dễ nhất để họ chấp thuận vì họ đều muốn tắt thông báo.

Theo Microsoft, Lapsus$ còn sử dụng mạng riêng ảo (VPN) rất thông minh, cho thấy chúng hiểu rõ cách những dịch vụ theo dõi đám mây phát hiện hành vi đáng ngờ như thế nào. Nhóm cũng tạo các máy ảo (virtual machine) trên hạ tầng đám mây của nạn nhân để tiền hành các vụ tấn công tiếp theo trước khi khóa doanh nghiệp khỏi nền tảng đám mây. Sau khi Lapsus$ kiểm soát hoàn toàn, chúng bảo đảm tất cả email đến và đi đều được chuyển tiếp về hạ tầng riêng của chúng, nơi chúng khai thác nhiều dữ liệu nhất có thể trước khi xóa bỏ hệ thống và tài nguyên. Trong một số trường hợp, Lapsus$ sau đó yêu cầu nạn nhân trả tiền để không công bố thông tin.

Thành quả

Hai chuyên gia bảo mật Soufiane Tahiri và Anis Haboubi đã phân tích một trong các ví được cho là liên quan với Lapsus$, phát hiện số dư là 3.790,62159317 Bitcoin, tương đương 123,9 triệu bảng Anh. Con số này chưa được Lapsus$ hay tổ chức nào xác nhận.

Du Lam (Theo IT Pro)

Hàng loạt tài khoản chứng khoán có nguy cơ bị chiếm đoạt, công ty cảnh báo

Hàng loạt tài khoản chứng khoán có nguy cơ bị chiếm đoạt, công ty cảnh báo

Công ty chứng khoán khuyến cáo khách hàng thay đổi mật khẩu đăng nhập và mật khẩu giao dịch định kỳ, không lưu trữ mật khẩu và phải bảo mật tài khoản.

tin nổi bật

Mỹ cáo buộc một người Việt lừa đảo 2,6 triệu USD từ bán NFT, nguy cơ đối mặt 40 năm tù

Sau khi gọi vốn thành công, Lê Anh Tuấn và đồng bọn đã đóng cửa website, chiếm dụng vốn đầu tư và rửa tiền bằng các giao dịch tiền mã hóa.

Cảnh báo nhiều vấn đề trong bảo vệ dữ liệu cá nhân ở Việt Nam

Nhận thức và sự quan tâm của chính quyền về vấn đề bảo vệ dữ liệu cá nhân trên các nền tảng tương tác với người dân vẫn ở mức rất hạn chế.

“Cá mập” tiền mã hóa trước nguy cơ vỡ nợ 670 triệu USD

Đây là khoản nợ khổng lồ của Three Arrows Capital - một trong những quỹ đầu tư có sức ảnh hưởng lớn trên thị trường tiền mã hóa.

Ba cách đơn giản phát hiện camera “giấu kín” khi thuê phòng

Kenneth Bombace, giám đốc điều hành công ty Global Threat Solutions nhận định số lượng các vụ camera gián điệp ngày càng tăng do những thiết bị ngày càng rẻ và dễ dàng tiếp cận nhiều người.

Nhóm tin tặc khét tiếng nhất thế giới Anonymous cảnh cáo Do Kwon

Nhóm tin tặc khét tiếng nhất thế giới Anonymous đăng tải video chỉ trích Do Kwon, đồng sáng lập Terraform Labs.

Thêm một vụ trộm tiền mã hoá, hacker cuỗm 100 triệu USD

Tin tặc đã đánh cắp số tiền mã hoá trị giá 100 triệu USD từ Horizon, nền tảng cầu nối blockchain phát triển bởi startup Harmony.

Microsoft tung bản vá lỗ hổng bảo mật nghiêm trọng Follina trên hệ điều hành Windows

Lỗ hổng bảo mật nghiêm trọng Follina đã được Microsoft chính thức ‘xử lý’ thông qua các bản vá lỗi hàng tháng.

Chip M1 có lỗ hổng bảo mật lớn nhưng Apple không thể tự sửa

Một lỗ hổng trên phần cứng bảo mật của vi xử lý Apple M1 được các chuyên gia phát hiện ra. Đây là bức tường cuối cùng, chống lại những cuộc tấn công từ xa.

FBI điều tra hãng thiết bị thanh toán của Trung Quốc

Công ty công nghệ nổi tiếng PAX Technology của Trung Quốc đã bị điều tra sau khi nhận cáo buộc tạo điều kiện cho nhiều cuộc tấn công vào hệ thống an ninh mạng của Mỹ và châu Âu.

Thông tin VPN các trường đại học ở Mỹ bị rao bán trên diễn đàn tội phạm mạng của Nga

Thông tin đăng nhập bị đánh cắp vào các mạng và máy chủ của trường đại học có thể được sử dụng cho phần mềm tống tiền, lừa đảo trực tuyến, tấn công bằng tiền điện tử... Những thông tin này có giá niêm yết lên tới hàng nghìn USD.

Twitter bị phạt 150 triệu USD vì sử dụng số điện thoại người dùng phục vụ cho quảng cáo

Twitter sẽ phải nộp khoản tiền phạt lên tới 150 triệu USD để giải quyết vụ kiện liên quan đến quyền riêng tư. Trước đó vào năm 2019, Facebook cũng từng bị phạt vì cáo buộc tương tự.

Cảnh giác với tin nhắn, cuộc gọi lừa đảo từ số điện thoại lạ

Thời gian gần đây, tình trạng các đối tượng mạo danh các cơ quan, đơn vị chức năng nhắn tin, gọi điện đe dọa, lừa đảo người dùng điện thoại tiếp tục tái diễn. Người dân cần nêu cao cảnh giác, đặc biệt là những cuộc gọi quốc tế.

Mạng blockchain Trung Quốc vươn ra quốc tế, dấy lên lo ngại về bảo mật

Mạng dịch vụ dựa trên blockchain (BSN), dự án của một công ty Trung Quốc có sự tài trợ của chính phủ, đang lên kế hoạch phát hành phiên bản quốc tế trong bối cảnh Bắc Kinh coi công nghệ này là ưu tiên cốt lõi.

Startup Blockchain dễ mất trăm triệu USD vì "xây nhà thiếu móng"

Các dự án Blockchain thường muốn làm những việc mang lại lợi ích tức thì cho sản phẩm và cộng đồng. Đó là lý do họ không bố trí nhiều nhân lực cho vấn đề bảo mật.

Tin tặc phá hoại kênh truyền hình Nga, đánh sập RuTube

Tin tặc tiếp tục nhắm mục tiêu vào Nga bằng các cuộc tấn công mạng, phá hoại kênh truyền hình của Nga để hiển thị các thông điệp ủng hộ Ukraine và đánh sập RuTube.