Nhóm tin tặc Anonymous tấn công hơn 90% cơ sở dữ liệu đám mây Nga

Như bạn có thể đã biết rằng, Nga nhanh chóng nằm trong tầm ngắm của những kẻ tấn công, đặc biệt là nhóm Anonymous, sau khi nước này tiến vào lãnh thổ Ukraine vào ngày 24 tháng 2 năm 2022. Kể từ đó, cơ sở hạ tầng CNTT của Nga đang bị nhắm mục tiêu mỗi ngày, bao gồm các trang web của chính phủ, Nhà nước, kênh truyền hình, nền tảng phát video trực tuyến , v.v.

Nhưng giờ đây, các nhà nghiên cứu đã tiết lộ rằng, tin tặc đã phát động một cuộc tấn công mạng quy mô lớn vào các cơ sở dữ liệu đám mây bị định cấu hình sai và lộ luôn dữ liệu vốn do các tổ chức khác nhau của Nga sở hữu. Mức độ nghiêm trọng của cuộc tấn công có thể được định lượng bằng thực tế là khoảng hơn 90% cơ sở dữ liệu này đã bị tin tặc xâm nhập.

Chi tiết về vụ vi phạm

Theo các nhà nghiên cứu bảo mật CNTT tại Website Planet, Anonymous và nhóm tin tặc liên kết của họ đã xâm nhập khoảng 90% cơ sở dữ liệu đám mây của Nga bị lộ ra công chúng mà không có bất kỳ xác thực bảo mật hoặc mật khẩu nào. Mặc dù không có sự rõ ràng về việc dữ liệu có được tải xuống hay không và những gì các tin tặc định làm với nó, nhưng rất có thể họ sẽ sử dụng nó cho các cuộc tấn công bổ sung tiếp theo.

Theo Jeremiah Fowler của Security Discovery, người đã hợp tác với Website Planet để thực hiện báo cáo này, trong số 100 cơ sở dữ liệu đám mây bị lộ của Nga mà họ phát hiện được thông qua các công cụ và nguồn khác nhau, có ít nhất 92 cơ sở dữ liệu đã bị xâm phạm. Ngoài ra, lượng dữ liệu khác chứa hơn 270.000 thông tin gọi là "người dùng" gồm địa chỉ email, tên, mã nội bộ và tài khoản quản trị. Fowler cảnh báo điều này có thể khiến nhân viên nhiều tổ chức trở thành mục tiêu tiếp theo của các cuộc tấn công đánh cắp dữ liệu.

Trong hầu hết các trường hợp, những kẻ tấn công đã xóa hoàn toàn tập dữ liệu bằng một tập lệnh lấy cảm hứng từ MeowBot. Một trong những cơ sở dữ liệu này thuộc về CIS (Cộng đồng các quốc gia độc lập). Ngoài ra, một phần của thông tin bị xâm nhập là tập dữ liệu thuộc về ISP Green Dot của Nga chứa một số lượng lớn các khóa bí mật có tổ chức mail.ru đứng ra làm máy chủ lưu trữ.

Tệp được đổi tên bằng Tin nhắn Pro-Ukraine

Fowler tiết lộ thêm rằng, các tệp được lưu trữ trong cơ sở dữ liệu bị xâm phạm đã bị xóa hoặc đổi tên bằng các thông báo thân thiện, ủng hộ Ukraine, hầu hết trong số đó có nội dung:

"Putin hãy dừng cuộc chiến này lại", "không có chiến tranh" và "HackedByUkraine".

Ngoài vụ hack, cơ sở dữ liệu có thể đã để lộ thông tin đăng nhập và email quản trị yếu, khiến nhân viên các tổ chức Nga trở thành mục tiêu tiềm năng của các cuộc tấn công kỹ thuật xã hội để "truy cập sâu hơn vào tổ chức kỹ thuật xã hội", Fowler lưu ý.

Việc xác định cơ sở dữ liệu không an toàn không phải là một vấn đề lớn như người ta tưởng. Chỉ với một vài thao tác, các công cụ tìm kiếm như Shodan hoặc Censys có thể liên tục quét internet và mở cơ sở dữ liệu với thông tin đăng nhập mặc định một cách dễ dàng.

Tuy nhiên, việc tin tặc sử dụng các cơ sở dữ liệu này cho chủ nghĩa hacktivism là điều chưa từng thấy trước đây. Tuy nhiên, các nhà nghiên cứu cảnh báo rằng, người dùng nên theo dõi dữ liệu của họ xem dữ liệu đó có liên quan đến vụ vi phạm dữ liệu bị định cấu hình sai lần này hay không.

MeowBot là gì?

Cuộc tấn công MeowBot hoặc Meow là một kiểu tấn công trong đó bot tìm kiếm cơ sở dữ liệu không an toàn và xóa chúng hoàn toàn mà không có bất kỳ lời giải thích nào. Trước đây, UFO VPN đã bị MeowBot xâm phạm và xóa sạch cơ sở dữ liệu của tổ chức này.

Vậy điều gì xảy ra trong cấu hình sai cơ sở dữ liệu?

Cấu hình sai xảy ra khi quản trị viên hoặc công ty để cơ sở dữ liệu của họ mở để truy cập công khai mà không có bất kỳ mật khẩu hoặc xác thực bảo mật nào. Các cơ sở dữ liệu này dễ dàng truy cập thông qua các công cụ tìm kiếm khác nhau và thường lưu trữ một lượng lớn dữ liệu cá nhân và nhạy cảm.

Tính đến tháng 7 năm 2020 , 9.517 cơ sở dữ liệu không an toàn đã được xác định với hơn 10 tỷ bản ghi trên toàn cầu. Vào thời điểm đó, 51% cơ sở dữ liệu được hiển thị trên Elasticsearch trong khi 49% trên MongoDB.

Tấn công ẩn danh các trang web, ngân hàng và đài truyền hình của chính phủ Nga

Trong số rất nhiều cuộc tấn công mà nhóm hack Anonymous đã thực hiện chống lại Nga bao gồm tuyên bố hạ gục đài truyền hình nhà nước RT qua bài đăng trên Twitter, sau đó nhóm đã hạ "đài tuyên truyền ... để đáp lại cuộc xâm lược tàn bạo của Điện Kremlin".

"Sau tuyên bố của Anonymous, các trang web của RT đã trở thành nạn nhân của một cuộc tấn công DDoS lớn làm ảnh hưởng đến gần 100 triệu thiết bị", RT nói với The Independent trong một tuyên bố.

"Do vụ hack, một số người dùng có những giới hạn truy cập trang web tạm thời, tuy nhiên RT đã kịp thời giải quyết những vấn đề này".

Các cuộc tấn công từ chối dịch vụ phân tán (DDoS) được thực hiện bởi các trang web áp đảo với lưu lượng truy cập rác để khiến chúng không thể truy cập được. Các cuộc tấn công tương tự là thực hiện trên các trang web của các bộ quốc phòng, ngoại giao và bộ nội vụ của Nga.

Du thuyền của Vladimir Putin được đổi tên thành 'FCKPTN'

Nhóm cũng đã tuyên bố một cuộc tấn công vào du thuyền sang trọng của Tổng thống Nga, đổi tên nó thành "FCKPTN" bằng cách phá hoại dữ liệu theo dõi hàng hải.

Các tin tặc sau đó đổi tên điểm đến của du thuyền này thành "vô danh" và "anonleaks", trước khi cuối cùng đổi tên thành "địa ngục". Nhóm tuyên bố rằng họ muốn đưa chiếc du thuyền này vào phạm vi áp dụng các gói xử phạt.

Hệ thống mạng lưới đường sắt của Belarus được mã hóa để ngăn Nga chuyển quân sang Ukraine

Một nhóm được gọi là Đảng phái Mạng Ẩn danh cũng đã mã hóa dữ liệu của các bộ phận trong mạng lưới đường sắt Belarus, chặn các đoàn tàu ở các thành phố Minsk và Orsha cũng như thị trấn Osipovichi.

Các tin tặc tuyên bố rằng, cuộc tấn công là để "làm chậm việc chuyển quân" từ Belarus đến miền bắc Ukraine, nói rằng họ đã đặt các đoàn tàu ở chế độ "điều khiển thủ công", điều này sẽ "làm chậm đáng kể chuyển động của các đoàn tàu, và sẽ không tạo ra các tình huống khẩn cấp". Một cựu nhân viên đường sắt Belarus cho biết rằng, hệ thống ở Minsk và Orsha đã bị "tê liệt", nhưng tình hình hiện vẫn chưa rõ ràng. Ban quản ly Đường sắt Belarus đã không trả lời yêu cầu bình luận nào từ The Independent.