Nhóm tin tặc Lapsus$ gần đây đã gây nhiều chú ý khi thực hiện một loạt vụ tấn công mạng vào nhiều công ty lớn như Nvidia, Samsung, Microsoft và Okta. Vậy nhóm tin tặc này là ai, và mục tiêu của chúng là gì?

Danh sách nạn nhân

Ảnh: BleepingComputer

Okta, công ty cung cấp ứng dụng xác thực được sử dụng bởi hàng ngàn tổ chức trên khắp thế giới, là một trong những mục tiêu lớn nhất của Lapsus$. Okta, hôm 22-3, thừa nhận, nhóm tin tặc Lapsus$ đã truy cập thông tin của khoảng 2,5% số khách hàng của Okta, tương đương 366 tổ chức.

Hồi tháng 1-2022, các tin tặc Lapsus$ từng khẳng định đã đột nhập vào máy tính xách tay của một kỹ sư hỗ trợ và đăng một số ảnh chụp màn hình làm bằng chứng. Tuy nhiên, Okta cho rằng máy tính xách tay đó của một kỹ sư hỗ trợ làm việc cho một nhà cung cấp phía thứ ba, và khẳng định rằng Okta không bị tấn công. Okta chỉ chịu thừa nhận khi có một số khách hàng bị ảnh hưởng, đã báo cáo với công ty.

Microsoft cũng xác nhận đã bị nhóm tin tặc Lapsus$ tấn công. Trong khi Microsoft cho biết các tin tặc chỉ chiếm được quyền truy cập giới hạn, nhóm Lapsus$ đã công bố một tập tin torrent cho thấy đã chiếm đoạt được mã nguồn của các công cụ quan trọng của Microsoft gồm Bing, Bing Maps và Cortana.

Trong khi nhóm tin tặc Lapsus$ chỉ mới gây chú ý khi khẳng định Okta và Microsoft bị tấn công, nhóm tin tặc này không phải là mới. Thực tế, Lapsus$ đã hoạt động kể từ tháng 12-2021 và liên tục tấn công các công ty, tổ chức lớn trong mấy tháng gần đây.

Một trong những mục tiêu đầu tiên của Lapsus$ là Bộ Y tế Brazil, với hơn 50 TB dữ liệu bị ăn cắp và bị xóa khỏi các hệ thống. Trong số đó là các dữ liệu COVID-19 quan trọng, như các ca mắc, các ca tử vong, dữ liệu tiêm vaccine… Bộ Y tế Brazil phải mất một tháng trước khi các hệ thống được khôi phục và hoạt động trở lại.

Hồi tháng 2 vừa qua, hãng sản xuất card đồ họa Nvidia cũng đã trở thành mục tiêu của Lapsus$. Nhóm tin tặc này khẳng định đã ăn cắp hơn 1 TB dữ liệu của nhà sản xuất bộ xử lý đồ họa, trong đó có mật khẩu của các nhân viên. 

Một mục tiêu lớn khác của Lapsus$ là Samsung. Hãng này thừa nhận đã bị rò rỉ dữ liệu trong một vụ tấn công, trong đó có mã nguồn của các điện thoại thông minh Samsung Galaxy. Samsung cho biết thông tin cá nhân không bị đánh cắp.

Lapsus$ cũng khẳng định đã tấn công nhà phát triển video game Ubisoft. Ubisoft thừa nhận đã trở thành mục tiêu của một vụ tấn công, buộc phải đặt lại mật khẩu toàn công ty.

Thủ đoạn khác thường

Mục tiêu của Lapsus$ là yêu cầu nạn nhân trả tiền chuộc, nếu không chúng sẽ phát tán thông tin đánh cắp. Tuy nhiên, Lapsus$ khác với các nhóm tấn công mã độc tống tiền (ransomware) khác, vì dữ liệu của nạn nhân không bị mã hóa.

Thế nhưng, điều đó không có nghĩa là các vụ tấn công không gây ra thiệt hại. Bộ phận Microsoft Security lưu ý có bằng chứng về yếu tố phá hoại của Lapsus$ đối với các nạn nhân không đưa tiền chuộc theo yêu cầu.

Cũng không giống các nhóm tấn công ransomware khác - sử dụng các trang web trong giới web đen để phát tán dữ liệu đã đánh cắp, Lapsus$ công khai sử dụng một kênh mạng xã hội Telegram để chia sẻ thông tin về các vụ tấn công, và thông tin đã đánh cắp, trực tiếp với bất kỳ ai đã đăng ký kênh của nhóm tin tặc.

Khi tiến hành các vụ tấn công, Lapsus$ khai thác các lỗ hổng trong giao thức điều khiển máy tính từ xa RDP, và triển khai các email lừa đảo để xâm nhập các tài khoản và mạng của các công ty. Nhóm tin tặc này cũng mua các thông tin tài khoản bị đánh cắp từ các diễn đàn ngầm, và săn tìm công khai tên người dùng và mật khẩu của các tài khoản, có thể khai thác để chiếm quyền truy cập.

Một số thành viên đã bị bắt?

Hiện vẫn chưa có thông tin xác định Lapsus$ chính xác có bao nhiêu thành viên. Thông qua các cuộc trò chuyện trên Telegram của Lapsus$, các chuyên gia an ninh mạng mới chỉ phỏng đoán được rằng Lapsus$ có các thành viên nói tiếng Anh, tiếng Nga, tiếng Thổ Nhĩ Kỳ, tiếng Đức và Bồ Đào Nha.

Hôm 24-3, cảnh sát London (Anh) cho biết đã bắt giữ 7 người từ 16-21 tuổi, để điều tra về một nhóm tin tặc. Trong số đó, một thiếu niên 17 tuổi ở Oxford, Anh, có biệt danh White/Breachbase, bị tình nghi là một trong các lãnh đạo của Lapsus$.

Danh tính và nhận dạng thực sự của 7 người này chưa được công bố, nhưng đã bị truy ra do các tin tặc đối thủ tiết lộ. Lapsus$ đã phạm phải một số lỗi an ninh trong hệ thống, cho phép các chuyên gia an ninh và các tin tặc đối thủ liên kết các tài khoản email và tên người dùng với nhận dạng thực.

LÊ PHI (Theo BleepingComputer, ZDNet)