Gửi lúc: 16/08/2018 16:22:08
Bookmark and Share

Liên tiếp phát hiện những thông tin mật bị rao bán trên “Dark Web”

Mới đây, trong khi điều tra các “cửa hàng” lậu bán thông tin đăng nhập máy tính từ xa, các nhà nghiên cứu thuộc nhóm Advanced Threat Research của McAfee phát hiện thấy có người bán quyền truy cập từ xa vào hệ thống an ninh của một sân bay quốc tế lớn với giá chỉ 10 USD.

Untitled Document


Thay vì mua thông tin đăng nhập từ xa, các nhà nghiên cứu đã dùng công cụ tìm kiếm Shodan để tìm ra địa chỉ IP chính xác của máy chủ Windows bị hack và rao bán. Khi truy cập màn hình đăng nhập qua Windows RDP, họ tìm thấy hai tài khoản khác liên quan tới hai công ty chuyên về an ninh sân bay, một công ty làm về an ninh và tự động hoá toà nhà, một công ty làm về giám sát bằng máy quay và phân tích video.
Theo các nhà nghiên cứu, những kẻ xấu bán thông tin truy cập từ xa trên “Dark Web” thường dò quét Internet để tìm những hệ thống cho phép kết nối từ xa rồi dùng các công cụ dò mật khẩu phổ biến như Hydra, NLBrute hay RDP Forcer để có được mật khẩu đăng nhập. Và sau đó, các tin tặc rao bán thông tin đăng nhập trên “Dark Web”. Bất kỳ ai mua thông tin đăng nhập có thể truy cập vào hệ thống, tạo cổng hậu, sửa đổi các thiết lập, cài mã độc và đánh cắp dữ liệu. Điều đó cho thấy, các tổ chức/doanh nghiệp cũng như cá nhân cần tránh cho phép website kết nối từ xa qua Internet. Trong trường hợp buộc phải mở cổng thì nên bổ sung biện pháp xác thực bằng OTP.

 

Các tài liệu nhạy cảm của không quân Mỹ được rao bán trên Dark Web với giá từ 150 - 200 USD. Công ty Recorded Future cho biết họ phát hiện một tin tặc đang cố gắng bán tài liệu bí mật về MQ-9 Reaper, loại máy bay không người lái mà nhiều cơ quan chính phủ Hoa Kỳ sử dụng.

 

Được giới thiệu lần đầu năm 2001, MQ-9 Reaper đang được không quân, hải quân, hải quan và lực lượng bảo vệ biên giới Mỹ, NASA, CIA cũng như lực lượng vũ trang của nhiều nước khác sử dụng.

Các nhà phân tích của Insikt Group tìm hiểu thấy rằng, tin tặc đã lấy được các tài liệu nhạy cảm bằng cách truy cập tới một bộ định tuyến Netgear sử dụng mật khẩu đăng nhập mặc định cho chia sẻ tệp ở căn cứ không quân Creech. Lỗ hổng xác thực đó của bộ định tuyến Netgear đã được phát hiện lần đầu cách đây hai năm nhưng công ty Recorded Future cho biết, có hơn 4.000 bộ định tuyến vẫn chưa được cập nhật bản vá firmware và dễ bị tấn công. Sau khi truy cập mạng, tin tặc xâm nhập máy tính của một viên đại uý thuộc đơn vị 432d, Aircraft Maintenance Squadron Reaper AMU OIC, đóng tại căn cứ Creech ở Nevada và đánh cắp khá nhiều tài liệu nhạy cảm, trong đó bao gồm cả tài liệu hướng dẫn bảo trì Reaper và danh sách những người được phân công điều khiển.

 

Điều đáng buồn là trong lô tài liệu được tìm thấy có cả một chứng chỉ hoàn thành khoá Cyber Awareness Challenge (hiểu biết về an ninh mạng) của viên đại uý này không thiết lập mật khẩu cho máy chủ FTP chứa những tệp dữ liệu bí mật. Tương tác với tin tặc cho phép các nhà phân tích phát hiện thêm những thông tin quân sự bị lộ khác, trong đó có một số tài liệu của một sỹ quan chưa được xác định danh tính (tài liệu hướng dẫn sử dụng xe tăng M1ABRAMS, tài liệu huấn luyện đơn vị tăng), cũng đang được rao bán trên mạng.

Nguyễn Anh Tuấn (theo The Hacker News)