Cảnh báo nguy cơ tấn công ngành hàng không bằng chiêu trò giả danh

Trong thông báo đăng tải trên nền tảng X, FBI cho biết đang phối hợp tích cực với các đối tác trong ngành hàng không và công nghiệp để đối phó với hoạt động tấn công của nhóm Scattered Spider. Theo đó, các đối tượng này thường giả mạo nhân viên hoặc nhà thầu để đánh lừa bộ phận hỗ trợ kỹ thuật CNTT, yêu cầu cấp quyền truy cập. Một trong các thủ đoạn phổ biến là thuyết phục nhân viên hỗ trợ thêm thiết bị xác thực đa yếu tố (MFA) trái phép vào các tài khoản đã bị xâm nhập.

FBI cảnh báo nhóm tin tặc Scattered Spider mở rộng tấn công ngành hàng không bằng chiêu thức giả danh. 

FBI cũng lưu ý rằng nhóm này có xu hướng nhắm đến các nhà cung cấp dịch vụ IT bên thứ ba nhằm tiếp cận các tổ chức lớn thông qua các bên trung gian đáng tin cậy, từ đó mở đường cho hành vi trộm cắp dữ liệu, tống tiền và triển khai mã độc tống tiền (ransomware).

Trên nền tảng LinkedIn, Sam Rubin – đại diện đơn vị 42 của Palo Alto Networks xác nhận Scattered Spider đang nhắm mục tiêu vào ngành hàng không, đồng thời kêu gọi các tổ chức nâng mức cảnh giác trước các yêu cầu đặt lại MFA hoặc hành vi lừa đảo tinh vi. Mandiant – công ty an ninh mạng thuộc sở hữu của Google cũng cho biết họ ghi nhận nhiều vụ việc trong ngành hàng không và vận tải có dấu hiệu tương tự cách thức hoạt động của nhóm này.

Ông Charles Carmakal - Giám đốc kỹ thuật của Mandiant, khuyến nghị các tổ chức cần ngay lập tức thắt chặt quy trình xác minh danh tính tại bộ phận hỗ trợ kỹ thuật, đặc biệt trước khi thực hiện các thay đổi như thêm số điện thoại mới vào tài khoản, đặt lại mật khẩu hoặc cung cấp thông tin nhân viên những điểm có thể bị tin tặc lợi dụng cho các cuộc tấn công tiếp theo.

Scattered Spider được đánh giá là hiểu rất rõ quy trình làm việc của con người, đặc biệt là trong môi trường áp lực cao. Nhóm này không tập trung vào các phương pháp tấn công kỹ thuật như dò mật khẩu hay xâm nhập hệ thống, mà thay vào đó khai thác sự cả tin hoặc sơ suất của con người chẳng hạn như một nhân viên hỗ trợ bị đánh lừa bởi một câu chuyện giả mạo thuyết phục.

Nhóm này có liên hệ với các nhóm đe dọa khác như Muddled Libra, Octo Tempest, Oktapus, Scatter Swine, Star Fraud và UNC3944. Ban đầu nổi tiếng với các cuộc tấn công hoán đổi SIM, Scattered Spider hiện sử dụng nhiều kỹ thuật tiếp cận như giả mạo bộ phận hỗ trợ, lừa đảo qua email nội bộ và khai thác quyền truy cập từ người trong cuộc để thâm nhập môi trường công nghệ thông tin hỗn hợp.

Công ty bảo mật Halcyon nhận định Scattered Spider là một bước tiến mới của rủi ro ransomware, kết hợp giữa kỹ thuật lừa đảo xã hội sâu, năng lực kỹ thuật đa lớp và khả năng tống tiền kép nhanh chóng. Chỉ trong vài giờ, nhóm này có thể xâm nhập hệ thống, duy trì quyền truy cập, đánh cắp dữ liệu, vô hiệu hóa cơ chế khôi phục và triển khai mã độc trên cả hệ thống tại chỗ và trên nền tảng đám mây.

Điều khiến Scattered Spider đặc biệt nguy hiểm là sự kết hợp giữa việc chuẩn bị kỹ lưỡng và khả năng leo thang tấn công đột ngột. Nhóm này dành nhiều thời gian thu thập thông tin, khai thác dữ liệu bị rò rỉ và mạng xã hội để giả mạo danh tính với độ chính xác cao. Với hình thức đe dọa kết hợp vừa giả mạo email doanh nghiệp (BEC), vừa phá hoại hạ tầng đám mây, Scattered Spider có thể hành động âm thầm cho đến khi đã kiểm soát hệ thống.

Scattered Spider là một phần trong cộng đồng lỏng lẻo mang tên “Com” (hoặc “Comm”), cùng với các nhóm khác như LAPSUS$. Theo đơn vị 42, nhóm này hình thành từ các nền tảng Discord và Telegram với thành viên đến từ nhiều nguồn gốc và lĩnh vực khác nhau – điều khiến chúng khó bị triệt phá hoàn toàn.

Báo cáo mới công bố của Công ty ReliaQuest cho biết, vào cuối tháng trước, nhóm này đã tấn công một tổ chức không nêu tên bằng cách nhắm trực tiếp vào giám đốc tài chính (CFO). Nhóm đã tiến hành thu thập thông tin chi tiết về đối tượng, sau đó giả mạo CFO gọi đến bộ phận IT để yêu cầu đặt lại thiết bị MFA và thông tin truy cập tài khoản. Trong quá trình đăng nhập, nhóm này sử dụng ngày sinh, bốn số cuối mã số an sinh xã hội và ID nhân viên để xác minh danh tính.

Theo ReliaQuest, nhóm Scattered Spider ưu tiên nhắm đến tài khoản của các lãnh đạo cấp cao vì những tài khoản này thường có đặc quyền cao và được xử lý yêu cầu nhanh chóng yếu tố tạo điều kiện thuận lợi cho việc lừa đảo.

Khi có được quyền truy cập vào tài khoản CFO, nhóm đã thực hiện một loạt hành vi như: Dò quét hệ thống Entra ID để mở rộng quyền truy cập; Khai thác SharePoint để tìm tài liệu nội bộ và thông tin cấu trúc hệ thống; Truy cập nền tảng Horizon VDI và tài khoản khác qua kỹ thuật giả danh; Thâm nhập VPN để duy trì truy cập từ xa; Kích hoạt lại các máy ảo cũ, tạo máy mới để truy cập VMware vCenter; Truy xuất cơ sở dữ liệu NTDS.dit của bộ điều khiển miền; Giải mã hơn 1.400 thông tin đăng nhập trong kho mật khẩu CyberArk; Thiết lập vai trò quản trị cho các tài khoản bị chiếm quyền; Dùng công cụ hợp pháp như ngrok để duy trì quyền kiểm soát máy ảo; Sau khi bị phát hiện, nhóm đã xóa các nhóm quy tắc tường lửa Azure để gây gián đoạn hoạt động.

ReliaQuest còn mô tả quá trình giằng co giữa đội phản ứng sự cố và tin tặc để giành quyền kiểm soát vai trò Quản trị toàn cầu trong hệ thống Entra ID tình huống chỉ được giải quyết khi Microsoft trực tiếp can thiệp. Nhìn tổng thể, các cuộc tấn công bằng kỹ thuật social engineering ngày nay không còn đơn giản là email lừa đảo, mà là chiến dịch đe dọa danh tính có tổ chức, với kịch bản bài bản để vượt qua mọi lớp phòng thủ. Từ đánh cắp SIM đến lừa gọi điện và leo thang đặc quyền, Scattered Spider cho thấy tốc độ hành động của tin tặc hiện nay khi gặp “cửa mở”.

Theo các chuyên gia an ninh, vấn đề không nằm ở thiếu công cụ kỹ thuật mà ở việc các tổ chức vẫn phụ thuộc vào con người trong quy trình xác minh danh tính. Khi sự tin tưởng bị lợi dụng, ngay cả hệ thống bảo mật mạnh cũng có thể bị vượt qua. Do đó, doanh nghiệp cần khẩn trương đánh giá lại và củng cố các quy trình xác thực ID, hạn chế nguy cơ từ yếu tố con người.

Duy Trinh (theo The Hacker News)