"Tôi muốn gửi một tin nhắn đến EA thông qua bạn", một người chat với Joseph Cox, phóng viên của Vice vào tháng 5/2021 sau khi EA bị tấn công mạng. "Bạn muốn biết động cơ hack của chúng tôi là gì? Rõ ràng là tiền đúng không?".
Nhóm này sau đó được xác định nắm trong tay một lượng lớn dữ liệu của hãng game Electronic Arts (EA), gồm hàng loạt game ăn khách như FIFA Online và công cụ phát triển Frostbite.
"Nhóm hacker muốn tống tiền EA nhưng vụng về một cách đáng kinh ngạc. Chúng không biết gửi yêu cầu tới ai, cuối cùng tìm đến tôi với tư cách là một nhà báo để làm người dẫn đường. Một nỗ lực cẩu thả", Cox bình luận.
Kể từ vụ hack nhằm vào EA, Lapsus$ bắt đầu trở thành một trong những nhóm tin tặc sử dụng mã độc tống tiền ransomware nổi tiếng nhất hoạt động theo cách công khai. Nhóm khác với những hacker khác vốn luôn tìm cách giấu mình và hạn chế để lộ thân phận.
Tuy nhiên, Lapsus$ chỉ thực sự được chú ý từ tháng 12/2021. Khi đó, chúng đã thực hiện một loạt vụ tấn công vào hệ thống của Bộ Y tế Brazil, lấy đi 50 TB dữ liệu. Đến tháng 1, chúng tiếp tục nhắm vào hàng loạt công ty và tổ chức ở Nam Mỹ và Bồ Đào Nha, trong đó có nhà mạng Vodafone.
Đến đầu tháng 2, chiến dịch của Lapsus$ thực sự gây rúng động, khi hàng loạt hãng công nghệ lớn toàn cầu như Nvidia, Microsoft, Samsung... Okta, công ty ở San Francisco chuyên vận hành hệ thống khóa kỹ thuật số cho cá nhân, tổ chức, doanh nghiệp và cơ quan chính phủ, là nạn nhân mới nhất. Theo TNW, thiệt hại trong vụ Okta rất nghiêm trọng, khi có tới hơn 3.500 doanh nghiệp lớn trên toàn cầu đang dùng giải pháp của công ty này. Trong khi đó, Okta đã thừa nhận 366 khách hàng của mình bị ảnh hưởng sau vụ tấn công.
Cách thức hoạt động
Theo Bleeping Computer, mục đích chính của Lapsus$ trong hầu hết các vụ tấn công là tống tiền. Nhưng khác với các hacker sử dụng ransomware mã hóa dữ liệu và đòi tiền chuộc, nhóm này thường lợi dụng kẽ hở từ nhân viên trong công ty nạn nhân, nhắm vào tài khoản của nhân viên, hoặc trả tiền cho người trong công ty đó để lấy quyền truy cập. Sau đó, chúng đánh cắp dữ liệu độc quyền và yêu cầu doanh nghiệp trả hàng triệu USD để chuộc lại.
Thực tế, sau khi bị tấn công tuần trước, David Bradbury, Giám đốc An ninh của Okta, cho biết tin tặc đã xâm nhập hệ thống bằng cách truy cập từ xa vào máy tính của một kỹ sư bên thứ ba. Microsoft cũng xác nhận một tài khoản quản trị của công ty bị xâm phạm và tiến hành cấp quyền cho các tài khoản khác nhằm phục vụ tiến trình hack. Một số nạn nhân khác cũng thừa nhận hệ thống của họ bị tấn công thông qua "tay trong".
Một hình thức khác được nhóm áp dụng là hoán đổi sim. Theo CBC, kẻ xấu lợi dụng lỗ hổng từ nhà mạng, hoặc nhân viên nhà mạng để sao chép số điện thoại nạn nhân. Với các tài khoản online sử dụng phương thức bảo mật hai lớp, thông tin khôi phục mật khẩu có thể được gửi thông qua số điện thoại. Kẻ xấu sau khi sao chép số điện thoại và có thể chiếm cả tài khoản. Cách tấn công này khá phổ biến trong quá khứ, gần đây bị phát hiện nhiều trong lĩnh vực tiền số.
Bên cạnh đó, các chuyên gia nghiên cứu bảo mật độc lập còn phát hiện Lapsus$ đã mua các gói dữ liệu cookie bị đánh cắp. Về cơ bản, hacker có thể "nhúng" dữ liệu này vào trình duyệt nạn nhân, lừa hệ thống là người dùng hợp pháp, đăng nhập vào các tài khoản quản trị và cuối cùng thực hiện việc tấn công.
Ngoài ra, Microsoft phát hiện, Lapsus$ còn cố sử dụng phần mềm đánh cắp mật khẩu. Chúng cũng khai thác các lỗ hổng chưa được vá để có quyền truy cập sâu hơn vào bên trong hệ thống mục tiêu.
Trẻ tuổi nhưng nguy hiểm
Dù có cách thức tấn công tinh vi, nhiều bằng chứng cho thấy những kẻ đứng sau vẫn ở độ tuổi thanh thiếu niên. Theo Bloomberg, một thành viên chủ chốt của nhóm mới 16 tuổi, sống tại Oxford. Cảnh sát Anh tuần qua cũng bắt 7 người từ 16 đến 21 tuổi, bị nghi là các thành viên Lapsus$.
Nhiều bằng chứng cho thấy cách tấn công của nhóm hacker này đầy sơ hở, thậm chí được mô tả là nghiệp dư. Microsoft cho biết đã theo dõi nhóm một thời gian dưới tên mã DEV-0537.
"Không như các hacker chuyên nghiệp khác, DEV-0537 có vẻ không che giấu dấu vết của mình", Microsoft nêu trên blog. "Chúng dễ dàng để lộ thông tin qua việc thông báo về các cuộc tấn công trên mạng xã hội".
Các chuyên gia bảo mật tại công ty phân tích an ninh mạng Silent Push cũng đồng tình. "Nhóm có vẻ là những đứa trẻ thiếu kinh nghiệm nhưng muốn chứng tỏ mình thông qua các cuộc tấn công tống tiền", chuyên gia Inês Vestia nhận xét trên Vice.
Lapsus$ hiện có hai kênh Telegram. Kênh đầu tiên chỉ có quản trị viên mới đăng thông tin, chủ yếu chia sẻ chi tiết về các đợt tấn công hoặc liên kết tải xuống dữ liệu đã phát hành. Trong khi đó, kênh thứ hai là nơi trò chuyện, bất cứ ai cũng có thể bình luận và hiện thu hút hơn 10.000 thành viên.
"Lapsus$ có sở thích kỳ lạ, đó là muốn được càng nhiều người biết đến càng tốt", Joshua Shilko, nhà phân tích của công ty an ninh mạng Mandiant, nói. "Chúng cũng không sợ bị truy ra dấu vết".
Trước việc Lapsus$ thực hiện hàng loạt vụ tấn công nhằm vào các công ty công nghệ lớn mà không sợ sệt, nhiều doanh nghiệp khác đang lo ngại họ có thể trở thành mục tiêu tiếp theo. Theo Microsoft, các tổ chức và cá nhân có thể tự bảo vệ hệ thống của mình bằng cách tăng cường bảo mật xác thực đa yếu tố (MFA), mã hóa đầu cuối, giám sát và bảo vệ nếu dùng dữ liệu đám mây, nhất là nâng cao nhận thức cho nhân viên vận hành hệ thống để tránh bị mua chuộc...
Bảo Lâm