Nhà nghiên cứu bảo mật "lật ngược thế cờ", phơi bày chiến dịch tấn công Signal của tin tặc Nga

Đầu năm nay, Donncha Ó Cearbhaill, một nhà nghiên cứu bảo mật chuyên điều tra các cuộc tấn công bằng phần mềm gián điệp, đã nhận thấy mình ở một vị thế bất thường. Lần đầu tiên, ông trở thành mục tiêu của tin tặc.

"Thân gửi người dùng, đây là ChatBot Hỗ trợ Bảo mật của Signal. Chúng tôi nhận thấy hoạt động đáng ngờ trên thiết bị của bạn, có thể dẫn đến rò rỉ dữ liệu," tin nhắn ông nhận được trên tài khoản Signal viết.

"Chúng tôi cũng phát hiện các nỗ lực truy cập vào dữ liệu riêng tư của bạn trên Signal," tin nhắn tiếp tục cảnh báo.

Để ngăn chặn điều này, tin nhắn yêu cầu nạn nhân phải thực hiện quy trình xác minh bằng cách nhập mã xác thực vào ChatBot Hỗ trợ Bảo mật của Signal. "ĐƯỢC MẠNH BẠN KHÔNG CHO BẤT KỲ AI BIẾT MÃ NÀY, KỂ CẢ NHÂN VIÊN CỦA SIGNAL."

Rõ ràng, với tư cách là người đứng đầu Phòng thí nghiệm Bảo mật của Tổ chức Ân xá Quốc tế (Amnesty International), Ó Cearbhaill ngay lập tức nhận ra đây là một nỗ lực tấn công tài khoản Signal thiếu khôn ngoan. Thay vì phớt lờ, ông nghĩ rằng đây là cơ hội tốt để tiến hành một cuộc điều tra bất ngờ.

Nhà nghiên cứu này chia sẻ với TechCrunch rằng cho đến thời điểm đó, ông "chưa bao giờ biết" mình là mục tiêu của một cuộc tấn công mạng một cú nhấp chuột (one-click) hay một nỗ lực lừa đảo (phishing) như vậy.

"Việc cuộc tấn công đáp xuống hộp thư của tôi, và cơ hội lật ngược thế cờ trước những kẻ tấn công để hiểu rõ hơn về chiến dịch này là quá tốt để bỏ lỡ," ông nói.

Ảnh chụp màn hình cuộc tấn công phishing nhắm vào Donncha Ó Cearbhaill

Chiến dịch lừa đảo quy mô lớn

Kết quả cho thấy, nỗ lực tấn công Ó Cearbhaill có khả năng là một phần của chiến dịch tấn công rộng lớn hơn nhắm vào một nhóm lớn người dùng Signal. Chiến thuật của tin tặc là giả danh Signal, cảnh báo về các mối đe dọa bảo mật giả mạo và cố gắng lừa các mục tiêu cấp quyền truy cập tài khoản cho tin tặc bằng cách liên kết nó với một thiết bị do chúng kiểm soát.

Những kỹ thuật này hoàn toàn giống với những gì đã được thấy trong một chiến dịch rộng lớn hơn mà Cơ quan An ninh mạng và Cơ quan An ninh Hạ viện Hoa Kỳ (CISA), cơ quan an ninh mạng của Vương quốc Anh và cơ quan tình báo Hà Lan đều đã đưa ra cảnh báo, đổ lỗi cho các điệp viên chính phủ Nga. Chính Signal cũng đã cảnh báo về các cuộc tấn công phishing nhắm vào người dùng của mình. Tạp chí tin tức Der Spiegel của Đức cũng phát hiện rằng tin tặc Nga đã xâm nhập thành công vào một số người trong nước, bao gồm các chính trị gia nổi tiếng.

Ó Cearbhaill cho biết trong một loạt bài đăng trực tuyến rằng ông đã tìm ra mình là một trong hơn 13.500 mục tiêu. Ông từ chối tiết lộ chính xác cách ông điều tra nỗ lực tấn công và chiến dịch này để tránh lộ bài cho tin tặc, nhưng đã chia sẻ một số chi tiết về những gì ông học được.

Hệ thống "ApocalypseZ" và giả thuyết "Quả cầu tuyết"

Đầu tiên, ông nhận ra các mục tiêu khác bao gồm các nhà báo mà ông từng làm việc cùng, cũng như một đồng nghiệp. Tại thời điểm đó, Ó Cearbhaill nói rằng ông đã nghi ngờ đây là một cuộc tấn công cơ hội, trong đó tin tặc xâm nhập các mục tiêu và xác định các nạn nhân tiềm năng mới nhờ những cuộc tấn công thành công đó.

Ó Cearbhaill gọi đây là "giả thuyết quả cầu tuyết" (snowball hypothesis) và nói rằng ông tin mình trở thành mục tiêu vì có khả năng ông nằm trong một nhóm chat với người bị hack, điều này mang lại cho tin tặc cơ hội tìm thấy thông tin liên hệ của các mục tiêu mới.

Nhà nghiên cứu này cho biết ông đã xác định được hệ thống mà tin tặc đang sử dụng, có tên là "ApocalypseZ". Hệ thống này tự động hóa cuộc tấn công, cho phép tin tặc nhắm mục tiêu cùng lúc nhiều người với sự giám sát hạn chế của con người.

Ông cũng phát hiện ra rằng mã nguồn và giao diện của người vận hành đều bằng tiếng Nga, và tin tặc đang dịch các cuộc trò chuyện của nạn nhân sang tiếng Nga. Điều này phù hợp với giả thuyết rằng đây là cùng một nhóm tin tặc chính phủ Nga đứng sau các chiến dịch tương tự.

Ó Cearbhaill cho biết ông vẫn đang theo dõi chiến dịch này và đã thấy các cuộc tấn công tiếp diễn, nghĩa là tổng số mục tiêu chắc chắn cao hơn nhiều so với con số ông thấy vào đầu năm nay.

Ông nói rằng ông nghi ngờ tin tặc sẽ nhắm vào ông một lần nữa và có lẽ đã hối hận khi nhắm vào ông ngay từ đầu. Ông nói: "Tôi hoan nghênh những tin nhắn trong tương lai, đặc biệt nếu họ có những lỗ hổng zero-day muốn chia sẻ," ám chỉ các lỗ hổng bảo mật chưa được nhà cung cấp biết đến, thường được sử dụng trong các cuộc tấn công mà ông điều tra.

Lời khuyên cho người dùng Signal

Ó Cearbhaill nói rằng nếu người dùng Signal lo ngại về việc trở thành mục tiêu của loại tấn công này, họ nên bật tính năng Registration Lock (Khóa đăng ký). Tính năng này cho phép người dùng đặt mã PIN cho tài khoản, ngăn chặn người khác đăng ký số điện thoại của họ trên một thiết bị khác.