Tin tặc Nga tấn công 85 công ty lớn bao gồm cả Amazon và Apple Pay

thiện tâm
•
Thứ Hai, 26/09/2016

Một nhóm tin tặc Nga đang phát động cuộc tấn công để đánh cắp thông tin người dùng từ ít nhất 85 công ty. Mục tiêu bao gồm Amazon, American Airlines, AT&T, Best Buy, Wells Fargo, DropBox, Dunking Donuts, Ebay, GoDaddy, Uber, Match.com, McDonald, Office Depot, PayPal, Pizza Hut, Steam, ứng dụng Apple Pay và nhiều công ty khác.

Một nhóm bảo mật darknet tư nhân đã xâm nhập được những tập tin được sử dụng trong các cuộc tấn công, các bản sao đã được cung cấp cho Epoch Times. Hiện vẫn còn quá ít dữ liệu để xác định các cá nhân đằng sau các cuộc tấn công, chúng xuất hiện như những những nhóm tội phạm an ninh mạng thông thường và không gắn với bất kỳ chính phủ nào. Các tin tặc sử dụng tiếng Nga để trò chuyện trực tuyến và họ cũng sử dụng các máy chủ từ Nga.

Xem thêm: Hacker trộm thông tin hơn 500 triệu tài khoản Yahoo, hãy thay mật khẩu ngay hôm nay

Ed Alexander, một điều tra viên trên Darknet – người đã cung cấp thông tin cho biết, ông đã thấy các tin tặc Nga đã “lấy được số thẻ tín dụng và danh tính đầy đủ của của người dùng” trong các cuộc tấn công vào Apple Pay, thậm chí là cả các câu trả lời dùng để khôi phục mật khẩu của người dùng.

“Khi tôi nhìn thấy tập tin này vào đầu tuần, tôi đã tắt ứng dụng Apple Pay trên iPhone của mình,” Ed Alexander cho biết.

Với việc tấn công vào Steam, một trong những nền tảng trò chơi trực tuyến phổ biến nhất thế giới với khoảng 125 triệu người dùng đang hoạt động, các tin tặc Nga đã ăn cắp email và mật khẩu của người dùng. Bằng cách tiếp cận tài khoản, các tin tặc đã truy cập được vào các món đồ ảo trong tài khoản của người dùng, bán chúng để đổi lấy tiền ảo hoặc giao dịch qua các trang web đấu giá trực tuyến để lấy được tiền mặt.

Các tập tin dùng để tấn công mạng được tùy biến cho từng công ty mà chúng nhắm làm mục tiêu, chứa cấu hình cho một công cụ bẻ khóa của thị trường chợ đen tên là Sentry MBA.

Sentry MBA cực kỳ hiệu quả vì việc người dùng sử dụng cùng một tên tài khoản và mật khẩu cho nhiều dịch vụ là rất phổ biến.

Sentry MBA sử dụng kỹ thuật “credential stuffing” lợi dụng việc người dùng Internet sử dụng cùng một tên tài khoản và mật khẩu cho nhiều trang web. Ví dụ, nếu một trang web bị đột nhập, hàng nghìn thông tin tài khoản sẽ được bán ở trên trang web của tin tặc, người ta có thể mua các tài khoản này và sử dụng chúng với công cụ Sentry MBA để xem liệu các thông tin tài khoản đó có thể được đăng nhập vào các trang web hoặc dịch vụ khác hay không.

Xem thêm: Giám đốc FBI James Comey: Hãy che webcam trên máy tính của bạn

Công cụ Sentry MBA hiện được dùng để thay thế chủ yếu cho phương pháp tấn công cũ “brute force” vốn tạo lượng lớn các mật khẩu ngẫu nhiên và thử chúng để tìm được mật khẩu đúng cho tài khoản đó.

Các tập tin cấu hình Sentry MBA được tùy chỉnh để vượt qua giao thức bảo mật đặc trưng của mỗi trang web, ví dụ như CAPTCHA được dùng để đảm bảo thông tin đăng nhập là từ con người mà không phải từ robot, hoặc các hệ thống ngăn chặn việc đăng nhập nhiều lần vào một trang web.

Sentry MBA cực kỳ hiệu quả vì việc người dùng sử dụng cùng một tên tài khoản và mật khẩu cho nhiều dịch vụ là rất phổ biến. Ví dụ, trong năm 2010, dữ liệu của gần 1,5 triệu người dùng đã bị công khai trên mạng sau khi trang Gawker bị đột nhập; trong năm 2011, thông tin của hơn 93.000 người dùng đã bị tin tặc đánh cắp trên mạng PlayStation của Sony. Theo cộng đồng bảo mật phần mềm OWASP, khoảng 2/3 số nạn nhân của cuộc tấn công vào Sony sử dụng cùng thông tin đăng nhập trên Gawker.

Theo ET,
Thiện Tâm biên dịch

Xem thêm: