Một nhóm tội phạm mạng mới đã gây xôn xao gần đây với việc công bố bằng chứng họ đã hack cả Okta và Microsoft. Lapsus $, chỉ mới xuất hiện vài tháng trước, dường như thoạt nhìn ban đầu gợi nhớ đến các nhóm nghiệp dư thực hiện vì tai tiếng và tuyên bố tham gia vì tiền.
Tuy nhiên, xem xét kỹ hơn các chiến thuật và mục tiêu của nhóm cho thấy họ có thể có một chương trình nghị sự khác vì Nga đã sử dụng lính đánh thuê từ Nhóm Wagner – cả ở Syria và hiện đang xâm lược Ukraine – để thực hiện các hoạt động mà họ không muốn trực tiếp theo dõi. Điện Kremlin. Công bằng mà nói, họ cũng có thể tham gia vào các cuộc tấn công mạng và thực hiện theo một chiến lược tương tự đối với các cuộc tấn công mạng.
NHÓM HACKER LAPSUS$
Lapsus$ là một nhóm hacker tương đối trẻ được cho là có trụ sở tại Brazil. Một hồ sơ của Wired từ ngày 15 tháng 3 năm 2022 lưu ý rằng các cuộc tấn công ban đầu của họ chủ yếu nhắm vào các mục tiêu nói tiếng Bồ Đào Nha. “Vào tháng 12 và tháng 1, nhóm này đã tấn công và cố gắng tống tiền bộ y tế Brazil, tập đoàn truyền thông khổng lồ Impresa của Bồ Đào Nha, hãng viễn thông Nam Mỹ Claro và Embratel và công ty cho thuê xe hơi Brazil Localiza, cùng những người khác”.
Nhóm không phải là một băng đảng ransomware. Họ đã tập trung vào đánh cắp dữ liệu và tống tiền nhưng không được biết đến để mã hóa hệ thống hoặc dữ liệu. Lapsus$ ban đầu dường như giành được quyền truy cập vào hệ thống và mạng của nạn nhân thông qua các cuộc tấn công lừa đảo (phising). Chúng cũng được biết là sử dụng các cuộc tấn công từ chối dịch vụ DoS và các chiến thuật tinh quái hơn như chuyển hướng trang web của nạn nhân đến một trang web giải trí dành cho người lớn nhằm mục đích tự xưng là theo đuổi lợi nhuận không do nhà nước tài trợ.
Bloomberg đã đăng một câu chuyện xác định một thiếu niên người Anh là kẻ chủ mưu đằng sau Lapsus $, và cảnh sát Vương quốc Anh sau đó đã bắt giữ 7 nghi phạm có độ tuổi từ 16 đến 21. Tuy nhiên, vẫn chưa rõ liệu những nghi phạm đó có thực sự liên quan đến Lapsus $ hay không. .
Tin nhắn cuối cùng được Lapsus $ công bố trên tài khoản Telegram của họ vào tuần trước cho biết: “Một số cho thành viên của chúng tôi có kỳ nghỉ đến 30/3/2022. Chúng ta có thể im lặng trong một vài thời điểm. Cảm ơn vì đã hiểu cho chúng tôi – chúng tôi sẽ cố gắng làm rò rỉ nội dung càng sớm càng tốt. “Và như đã hứa, Lapsus $ đã quay lại vào ngày 30 tháng 3 để xuất bản một tệp torrent 70GB với dữ liệu được là bị đánh cắp từ Globant – một công ty tư vấn phát triển phần mềm lớn.
Lapsus $ cũng được liên kết với một nhóm có tên “Nhóm đệ quy” trong một báo cáo gần đây tuyên bố rằng họ có thể lấy dữ liệu người dùng nhạy cảm từ Apple, Meta và các công ty công nghệ khác bằng cách đóng giả là quan chức thực thi pháp luật và sử dụng “yêu cầu dữ liệu khẩn cấp giả mạo. ” Nhóm đệ quy không còn hoạt động, nhưng các nhà nghiên cứu an ninh mạng tin rằng một số cá nhân được liên kết với Nhóm đệ quy đã chuyển sang thành lập hoặc tham gia Lapsus $.
Điều đáng chú ý là Lapsus $ cũng tuyên bố rằng các nghi phạm bị bắt ở Vương quốc Anh không phải là một phần của nhóm và không có thành viên nào của Lapsus $ bị bắt. Có lẽ điều đó là đúng, hoặc có thể Lapsus $ đã tuyển dụng trẻ vị thành niên với mục đích để lộ chúng như một trò tiêu khiển nếu cần. Cho dù những cá nhân bị bắt ở Vương quốc Anh có phải là một phần của Lapsus $ hay không, có vẻ như Lapsus $ vẫn đang tiếp tục phát triển mạnh mẽ và vẫn còn một câu hỏi về động cơ của họ là gì.
NGHĨ RẰNG HỌ ĐANG CHỐNG ĐỐI QUÁ NHIỀU
Nhóm đã cố gắng nhấn mạnh rằng họ có động cơ về tài chính và họ không phải là một tác nhân đe dọa quốc gia dân tộc.
Lapsus$ đã đưa ra một tuyên bố vào tháng 12 trên kênh Telegram của mình nhấn mạnh, “Hãy nhớ rằng: Mục tiêu duy nhất là tiền, lý do của chúng tôi không phải là chính trị.”
Hồ sơ Wired chỉ ra rằng Lapsus $ đã nhắc lại điều này sau khi vi phạm Nvidia vào tháng Hai. Nhóm chia sẻ trên Telegram, “Xin lưu ý: Chúng tôi không được nhà nước bảo trợ và chúng tôi cũng không tham gia chính trị.”
Mặc dù có thể đúng rằng Lapsus$ chỉ là một nhóm tin tặc tìm kiếm tiền mặt nhanh chóng, nhưng các tuyên bố cũng có vẻ đáng ngờ. Chính việc họ lên tiếng về việc không phải là một mối đe dọa quốc gia đã đặt ra câu hỏi rằng liệu họ có thể chỉ như vậy hay không.
ĐỘNG LỰC LỢI NHUẬN MÀ KHÔNG CÓ LỢI NHUẬN
Dù nhóm bắt đầu như thế nào, hay bất cứ điều gì nhóm tuyên bố, thì mô hình chung và hồ sơ của các mục tiêu gần đây cho thấy sự thay đổi căn bản trong hành vi và tính cách. Dường như không còn bất kỳ động cơ lợi nhuận nào cho các cuộc tấn công gần đây và không có mô hình kinh doanh hợp lý theo mệnh giá.
Một băng nhóm tội phạm mạng được thúc đẩy bởi tiền sẽ tập trung vào các cuộc tấn công đơn giản, chi phí thấp có khả năng thu lợi nhuận nhanh chóng và sinh lợi cao nhất. Lý do ransomware phổ biến là nó cho phép những kẻ tấn công tạo ra doanh thu đáng kể với rất ít nỗ lực và thậm chí ít cơ hội bị bắt và chịu trách nhiệm hơn. Họ cũng sẽ không chi tiền nếu không có một mô hình kinh doanh trên thông tin đăng nhập, như họ quảng cáo trên Telegram:
Krebsonsecurity.com đã chia sẻ ảnh chụp màn hình một bài đăng trên Lapsus $ trên kênh Telegram của mình nhằm thu hút những người trong cuộc từ các công ty viễn thông và công nghệ cung cấp thông tin đăng nhập cho các cuộc tấn công.
Tuy nhiên, Lapsus $ không sử dụng ransomware và dường như không còn theo đuổi lợi nhuận nữa. Họ đã chuyển hoàn toàn từ các cuộc tấn công tống tiền DDoS chống lại các công ty ở Mỹ Latinh sang các cuộc tấn công chống lại những gã khổng lồ công nghệ toàn cầu — các công ty như Samsung, Nvidia, Ubisoft, Okta và Microsoft mà hàng triệu công ty và cơ quan chính phủ trên thế giới dựa vào.
Không chỉ các cuộc tấn công của Lapsus $ không tạo ra doanh thu như chúng ta biết, mà nhóm thực sự đang đầu tư tiền vào các cuộc tấn công. Lapsus $ được cho là đã hối lộ nhân viên tại các công ty mục tiêu hoặc các đối tác và nhà cung cấp của họ để chia sẻ thông tin xác thực nhằm tạo điều kiện cho các cuộc tấn công. Điều này làm tăng đáng kể chi phí của các cuộc tấn công, nhưng không có bằng chứng cho thấy họ nhận ra bất kỳ lợi tức đầu tư nào.
Đó là trừ khi người khác trả tiền cho họ.
MÔ HÌNH KINH DOANH LAPSUS$
Câu hỏi nhức nhối khi nói đến Lapsus$ là, “Mô hình kinh doanh của họ bây giờ là gì khi họ đã thay đổi chiến thuật và mục tiêu?”
Các cuộc tấn công và tuyên bố ban đầu hoàn toàn là dối trá hoặc một mưu mẹo phức tạp, hoặc có điều gì đó khác đang diễn ra đằng sau hậu trường. Không có ý nghĩa gì đối với Lapsus $ khi tiêu tiền và tài nguyên vào các cuộc tấn công có cấu hình cao mà không mang lại bất kỳ lợi nhuận nào.
Mô hình và mô hình kinh doanh hiện tại dẫn đến hai kết luận tiềm năng. Hoặc Lapsus $ đang tham gia vào hợp đồng thay mặt cho một bên thứ ba, hoặc nhóm thực sự là một kẻ đe dọa quốc gia-nhà nước ẩn nấp sau lớp vỏ bọc kịch bản.
Dù thế nào đi nữa, bậc thầy bù nhìn rõ ràng nhất là Nga.
“TỪ NGA, VỚI TÌNH YÊU”
Nga đã dành vài tháng đầu năm nay để tập trung quân sự một cách chiến lược dọc theo biên giới với Ukraine — cả từ Nga và “tiến hành các cuộc tập trận chung” với nước láng giềng phía bắc của Ukraine, Belarus. Bất chấp những nỗ lực tích cực nhằm tìm ra một giải pháp ngoại giao để thuyết phục Putin từ bỏ quan điểm, Nga đã xâm lược Ukraine vào cuối tháng Hai.
Khi căng thẳng gia tăng, có nhiều suy đoán rằng Nga sẽ tham gia vào các cuộc tấn công mạng trên diện rộng trước khi hoặc kết hợp với việc phát động cuộc xâm lược quân sự. Tuy nhiên, điều đó đã không thực sự xảy ra. Có một số cuộc tấn công nhỏ và bằng chứng về các cần gạt độc hại được cài đặt trên một số máy chủ ở Ukraine, nhưng không có gì giống như quy mô hoặc phạm vi của các cuộc tấn công được mong đợi.
Đó có thể là chiến lược. Nga có thể hiểu rằng có một cuộc tranh luận đang diễn ra về ranh giới giữa chiến tranh mạng và chiến tranh truyền thống, và liệu một cuộc tấn công mạng có đảm bảo một phản ứng động học hay không. Nga nói lớn, nhưng Putin và các cố vấn của ông có lẽ hiểu rằng một cuộc tấn công mạng công khai từ Nga có nguy cơ leo thang và có thể khiến các quốc gia như Hoa Kỳ và các đồng minh NATO có lý do để đáp trả.
Nga có hai APT nổi tiếng thế giới. APT-28 là một chức năng của cơ quan tình báo quân sự của Nga (GRU) và APT-29 được liên kết với Cơ quan Tình báo Nước ngoài (SVR) và / hoặc Cơ quan An ninh Liên bang (FSB). Các cuộc tấn công mạng lớn và các chiến dịch thông tin sai lệch, bao gồm cả vụ tấn công Ủy ban Quốc gia Dân chủ, NotPetya, và vụ tấn công SolarWinds, được cho là do hai APT này. Vì vậy, tại sao Nga không sử dụng các nguồn lực này một cách mạnh mẽ hơn đối với cuộc xâm lược Ukraine?
Một câu trả lời có thể xảy ra là họ không muốn đốt kho dự trữ không có ngày nào hoặc thậm chí có thể phát triển nó. Nếu APT28 và APT29 sử dụng khai thác zero-day của chúng, chúng sẽ mất hiệu quả khi các nhà cung cấp an ninh mạng và hệ thống miễn dịch trên thực tế của thế giới phản ứng và xác định các IOC để khiến chúng trở nên vô dụng. Công bằng khi cho rằng Nga có một kho các phương thức khai thác không ngày nguy hiểm, nhưng đây có thể không phải là thời điểm thích hợp để sử dụng chúng. Sẽ rất hợp lý nếu sử dụng những cách khai thác như vậy trong một cuộc tấn công lớn, đồng thời vào các mục tiêu cơ sở hạ tầng quan trọng của đối thủ vào một ngày trong tương lai.
Nga cũng có quyền truy cập vào một số băng nhóm tội phạm mạng. Các nhóm như Conti, Darkside và REvil là những thực thể tư nhân, nhưng có quan hệ với bộ máy tình báo Nga. Nga cho phép họ hoạt động theo cách bị nhà nước phớt lờ hoặc được nhà nước điều tiết với các cuộc tấn công phù hợp với lợi ích của nhà nước Nga nhưng lại cho Putin và chính phủ Nga một số mức độ phủ nhận chính đáng.
Tuy nhiên, khoảng cách bằng chiều dài vòng tay đó có thể là không đủ ngay bây giờ. Có lẽ Nga nhận thức được nguy cơ các cuộc tấn công mạng từ chính Nga hoặc các tác nhân đe dọa của Nga được cho là đang làm việc thay mặt cho Nga có thể sẽ dẫn đến phản ứng mạnh mẽ hơn nhiều từ Hoa Kỳ và các đồng minh NATO có thể làm leo thang xung đột ngoài những gì Nga cảm thấy thoải mái. .
NẾU ĐÚNG LÀ NHƯ THẾ
Đó là nơi Lapsus$ xuất hiện. Sự thay đổi gần đây về chiến thuật và hành vi có thể là dấu hiệu cho thấy nhóm này đã được ủy nhiệm là “lính đánh thuê mạng” làm việc thay mặt cho Nga. Nó có lợi cho Nga khi có một băng nhóm tội phạm mạng “độc lập” tàn phá các quốc gia đối thủ và có được quyền truy cập vào mã nguồn và thông tin tình báo có giá trị mà Nga có thể sử dụng cho các cuộc tấn công mạng, cơ chế phân phối và công cụ trong tương lai.
Thực tế là Lapsus$ đang chi tiền để mua các thông tin xác thực để thực hiện các hoạt động ngụ ý rằng họ đang nhận tiền từ một nơi nào đó — hoặc chính họ là một tác nhân đe dọa quốc gia dân tộc. Hoặc Nga (hoặc một tác nhân đe dọa khác liên kết với Nga) đang trả tiền cho họ, hoặc họ đã nói dối về việc có động cơ tài chính ngay từ đầu và họ thực sự là một kẻ đe dọa an ninh nhà nước sử dụng kịch bản Brazil làm vỏ bọc. Dù bằng cách nào, các chiến thuật và động cơ chỉ có ý nghĩa nếu có sự tham gia của một tổ chức quốc gia-nhà nước.
Trong cả hai trường hợp, nếu đúng là Lapsus$ đang làm việc với hoặc cho Nga, thì cuộc chiến ở Ukraine đã mở rộng hơn nữa ra ngoài biên giới của các quốc gia. Có thể chúng ta chỉ nhìn thấy phần nổi của tảng băng chìm, nơi có liên quan đến lính đánh thuê mạng và lợi ích của Nga. Có khả năng chúng tôi có thể gặp rủi ro về một cuộc tấn công phối hợp, quy mô lớn nhắm vào nhiều thực thể quan trọng đồng thời.
Đây là tất cả suy đoán vào thời điểm này. Nó chỉ là những phỏng đoán có chuyên môn và phân tích bằng chứng, xu hướng để đi đến kết luận khả thi hoặc có thể xảy ra. Tuy nhiên, nếu nó thực sự là vậy, nó có thể là một tác nhân đe dọa của Nga.
Vina Aspire là đơn vị tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn: https://www.cybereason.com/blog/lapsus-activity-betrays-nation-state-motivation
Thế giới bản tin | Vina Aspire News
Nguồn : https://vina-aspire.com/lapsus-tiet-lo-dong-luc-quoc-gia-dan-toc/