Hacker lợi dụng các tài khoản Google Cloud để khai thác tiền điện tử

Google Cloud Platform (GCP) đang bị các hacker lợi dụng để cài phần mềm khai thác tiền điện tử vào các hệ thống bị xâm phạm và lạm dụng cơ sở hạ tầng của nó để cài đặt ransomware nhằm thực hiện các chiến dịch lừa đảo, thậm chí tạo lưu lượng truy cập vào video YouTube để thao túng số lượt xem.

Đại diện Google cho biết, nhiều cuộc tấn công thành công là do khách hàng không dọn dẹp những tệp đã tải về và thiếu những biện pháp bảo mật cơ bản.

Trong số 50 trường hợp GCP bị xâm phạm gần đây, 86% trong số đó được sử dụng để tiến hành khai thác tiền điện tử, 10% trường hợp được khai thác để xác định các hệ thống dễ bị tấn công và 8% trường hợp được sử dụng để tấn công các mục tiêu khác. Khoảng 6% GCP đã được sử dụng để lưu trữ phần mềm độc hại.

Các nguyên nhân chính có thể kể đến: người dùng sử dụng mật khẩu yếu, không có mật khẩu cho tài khoản người dùng hoặc kết nối API (48%), lỗ hổng trong phần mềm của bên thứ ba được cài đặt trên cloud (26%) và rò rỉ thông tin đăng nhập trong các dự án trên GitHub(4%).

Một chiến dịch lừa đảo trên Gmail do APT28 (hay còn gọi là Fancy Bear) thực hiện từ cuối tháng 9/2021, liên quan đến việc gửi một loạt email tới hơn 12.000 chủ tài khoản chủ yếu ở Hoa Kỳ, Vương quốc Anh, Ấn Độ, Canada, Nga, Brazil và các quốc gia EU với mục đích đánh cắp thông tin đăng nhập của người dùng.

Hơn nữa, Google cho biết kẻ tấn công sử dụng cloud miễn phí bằng cách sử dụng các dự án thử nghiệm và đóng giả là các công ty khởi nghiệp để tham gia vào việc gửi lưu lượng truy cập tới YouTube.

Trong một vụ việc khác, một nhóm hacker được cho là do chính phủ Triều Tiên hậu thuẫn đã giả danh các nhà tuyển dụng của Samsung để gửi các cơ hội việc làm giả cho nhân viên tại một số công ty bảo mật thông tin của Hàn Quốc bán các giải pháp chống phần mềm độc hại. Các email bao gồm một tệp PDF được cho là mô tả một vị trí công việc tại Samsung, tuy nhiên các tệp PDF này không đúng định dạng và không mở trong trình đọc PDF tiêu chuẩn. Khi các nạn nhân trả lời rằng họ không thể mở mô tả công việc, hacker sẽ gửi một liên kết tới phần mềm độc hại được lưu trữ trong Google Drive và yêu cầu nạn nhân tải vể để mở tệp PDF trước đó.

Google đã kết nối các cuộc tấn công và cho rằng mục tiêu của hacker là chuyên gia bảo mật làm việc trong nghiên cứu và phát triển lỗ hổng bảo mật, nhằm đánh cắp các khai thác các nghiên cứu không được tiết lộ.

Google cũng cho biết rằng: “Các tài nguyên được lưu trữ trên nền tảng cloud có tính sẵn sàng cao và khả năng truy cập mọi lúc, mọi nơi. Những hacker có thể cố gắng lợi dụng tính chất phổ biến của cloud để xâm phạm vào tài nguyên trên đó. Mặc dù, người dùng đã chú ý rất nhiều đến vấn đề an ninh mạng, tuy nhiên các chiến thuật lừa đảo trực tuyến sử dụng kỹ thuật rất tinh vi vẫn có tỷ lệ thành công cao".