Tấn công mạng nguy hiểm: Kẻ xấu ‘Living Off The Cloud’ bằng Firebase
Cảnh quan các mối đe dọa kỹ thuật số liên tục thay đổi, với tội phạm mạng ngày càng áp dụng chiến lược “living off the cloud” để vượt qua các hàng rào bảo mật truyền thống. Hình thức tấn công mạng này cho phép kẻ xấu ẩn mình trong cơ sở hạ tầng của các nhà cung cấp dịch vụ đám mây đáng tin cậy, khiến việc phát hiện trở nên khó khăn hơn đáng kể cho cả hệ thống phòng thủ tự động và người giám sát trong môi trường doanh nghiệp.
Xu hướng này gần đây đã leo thang với một chiến dịch tinh vi, trong đó các tác nhân đe dọa lợi dụng các tài khoản nhà phát triển Firebase miễn phí để tạo điều kiện thuận lợi cho các cuộc tấn công của chúng. Sự lạm dụng này minh họa rõ nét cách thức kẻ tấn công khai thác sự tin cậy và tính hợp pháp của các nền tảng đám mây.
Tận Dụng Nền Tảng Đám Mây: Chiến Lược “Living Off The Cloud”
Chiến lược “living off the cloud” mô tả việc kẻ tấn công sử dụng các công cụ, dịch vụ và cơ sở hạ tầng hợp pháp của các nhà cung cấp dịch vụ đám mây để thực hiện các hoạt động độc hại. Điều này bao gồm việc lưu trữ mã độc, triển khai các máy chủ điều khiển và kiểm soát (C2), hoặc như trong trường hợp này, lưu trữ các trang lừa đảo (phishing pages).
Bằng cách khai thác cơ sở hạ tầng của các nhà cung cấp dịch vụ đáng tin cậy, kẻ tấn công có thể che giấu hiệu quả các hoạt động độc hại của chúng. Điều này gây khó khăn đáng kể cho việc phát hiện, bởi vì các hoạt động này được thực hiện từ các miền hoặc dịch vụ có uy tín, thường được các hệ thống bảo mật mặc định cho phép.
Firebase: Nền Tảng Bị Lạm Dụng Cho Tấn Công Phishing
Firebase, một nền tảng phát triển ứng dụng di động và web được sử dụng rộng rãi của Google, cung cấp một gói dịch vụ miễn phí. Gói này cho phép người dùng lưu trữ nội dung và triển khai các ứng dụng, tạo điều kiện thuận lợi cho việc phát triển nhanh chóng.
Kẻ tấn công đang tận dụng tính năng này để lưu trữ các trang phishing rất thuyết phục. Các trang này giả mạo các cổng đăng nhập của các thương hiệu phổ biến, vũ khí hóa tính hợp pháp của nền tảng Firebase.
Việc sử dụng một nền tảng uy tín như Firebase giúp tăng cường độ tin cậy của các trang lừa đảo, khiến nạn nhân khó nhận biết hơn. Đây là một ví dụ điển hình về việc lạm dụng cơ sở hạ tầng hợp pháp cho mục đích bất chính.
Phân Tích Kỹ Thuật Chiến Dịch Lừa Đảo
Các nhà phân tích của Unit 42 đã xác định hoạt động độc hại này vào đầu tháng 2 năm 2026. Họ đã quan sát thấy một sự gia tăng rõ rệt trong các chiến dịch phishing sử dụng các tài khoản nhà phát triển Firebase bị lạm dụng này.
Nghiên cứu của họ nhấn mạnh rằng những kẻ tấn công đang sử dụng các chiến thuật gây áp lực cao để thao túng nạn nhân. Các chiêu thức phổ biến bao gồm gửi các cảnh báo khẩn cấp về việc sử dụng tài khoản gian lận hoặc mời gọi người dùng bằng các ưu đãi vật phẩm miễn phí, có giá trị cao.
Các chiến thuật này được thiết kế để kích động phản ứng ngay lập tức và thiếu suy nghĩ từ mục tiêu. Hiệu quả của các chiến dịch phishing này phần lớn là do sự tin tưởng vốn có mà người dùng và hệ thống bảo mật đặt vào miền lưu trữ.
Kỹ Thuật Giả Mạo Uy Tín (Reputation Hijacking)
Một đặc điểm nổi bật của chiến dịch này là việc dựa vào “reputation hijacking” để lẩn tránh các giao thức phát hiện tiêu chuẩn. Các liên kết phishing nằm trên các subdomain hợp lệ của firebaseapp.com hoặc web.app.
Do đó, chúng thường vượt qua các cổng bảo mật email vốn cho phép các cơ sở hạ tầng liên kết với Google. Tỷ lệ phân phối cao này, kết hợp với tính xác thực về mặt hình ảnh của các trang được lưu trữ, dẫn đến sự gia tăng đáng kể trong việc đánh cắp dữ liệu thông tin đăng nhập thành công.
Các bộ lọc bảo mật truyền thống chủ yếu phân tích tuổi đời và uy tín của một miền để xác minh tính hợp pháp của nó. Bằng cách lưu trữ nội dung phishing trên Firebase, kẻ tấn công kế thừa uy tín tích cực của miền do Google lưu trữ.
Điều này vô hiệu hóa hiệu quả các cơ chế chặn dựa trên miền mà thông thường sẽ gắn cờ các trang web không xác định. Kỹ thuật này làm cho việc phát hiện dựa trên danh tiếng miền trở nên không hiệu quả.
Tính Khó Phát Hiện và Khả Năng Duy Trì Của Hạ Tầng Tấn Công
Tính chất miễn phí của các tài khoản Firebase cho phép các cuộc tấn công mạng này lan truyền nhanh chóng và duy trì lâu dài. Nếu một dự án độc hại cụ thể bị gắn cờ và đình chỉ, kẻ tấn công có thể ngay lập tức tạo một phiên bản mới với một tên khác.
Bản chất nhất thời của cơ sở hạ tầng này tạo ra một môi trường đầy thách thức cho các nhà phòng thủ. Dịch vụ lưu trữ cơ bản vẫn được tin cậy và hợp pháp, trong khi các subdomain độc hại cụ thể liên tục thay đổi.
Điều này làm cho các danh sách chặn tĩnh trở nên không hiệu quả đối với mối đe dọa mạng. Khả năng tái tạo nhanh chóng và ẩn danh tính gây ra một rào cản đáng kể trong việc ngăn chặn triệt để.
Chiến Lược Phòng Thủ và Biện Pháp Giảm Thiểu
Các tổ chức nên tăng cường tư thế phòng thủ của mình bằng cách triển khai kiểm tra nghiêm ngặt các đích URL. Điều này bao gồm cả những URL được lưu trữ trên các miền của nhà cung cấp dịch vụ đám mây đã biết. Việc chỉ dựa vào uy tín miền cấp cao nhất không còn đủ nữa.
Các nhóm bảo mật được khuyến nghị giám sát các mẫu lưu lượng truy cập bất thường đến các subdomain đám mây chung. Điều này giúp phát hiện sớm các hoạt động đáng ngờ có thể là dấu hiệu của tấn công mạng.
Quan trọng hơn, việc giáo dục nhân viên về tầm quan trọng của việc xác minh đường dẫn URL đầy đủ trước khi nhập thông tin đăng nhập hoặc dữ liệu nhạy cảm là rất cần thiết. Đây là tuyến phòng thủ đầu tiên chống lại các cuộc tấn công phishing tinh vi.
Theo CISA, việc nhận biết và tránh các chiến thuật lừa đảo là một kỹ năng quan trọng đối với mọi người dùng. Tổ chức cần cung cấp đào tạo định kỳ và mô phỏng các cuộc tấn công để nâng cao nhận thức. Tham khảo hướng dẫn từ CISA về các chiến thuật lừa đảo và kỹ thuật xã hội để cập nhật các biện pháp phòng vệ.
Việc triển khai các giải pháp bảo mật nâng cao như hệ thống phát hiện mối đe dọa nâng cao và xác thực đa yếu tố (MFA) trên tất cả các tài khoản quan trọng cũng là những bước cần thiết. Các giải pháp này cung cấp thêm một lớp bảo vệ, giúp giảm thiểu rủi ro bị đánh cắp dữ liệu.
