Vạch Trần Initial Access Broker r1z: Rủi Ro Bảo Mật Nghiêm Trọng

Cơ quan chức năng đã phanh phui hoạt động của “r1z”, một initial access broker (môi giới truy cập ban đầu) chuyên bán quyền truy cập vào các mạng lưới doanh nghiệp trên toàn thế giới. Đối tượng này hoạt động trên các diễn đàn tội phạm mạng phổ biến, rao bán thông tin đăng nhập VPN bị đánh cắp, quyền truy cập từ xa vào môi trường doanh nghiệp và các công cụ tùy chỉnh được thiết kế để vượt qua kiểm soát bảo mật.

Hoạt động của r1z đã cung cấp các điểm xâm nhập sẵn có cho các băng nhóm ransomware, trở thành một mắt xích quan trọng trong chuỗi cung ứng của các cuộc tấn công mã độc tống tiền. Vụ việc này minh họa cách một môi giới duy nhất có thể biến kỹ năng kỹ thuật thành một mô hình kinh doanh có khả năng mở rộng.

Chiến lược Kinh doanh của Initial Access Broker r1z

r1z đã chuyên khai thác các điểm yếu của tường lửa và VPN để bán quyền truy cập, từ đó giảm bớt rào cản kỹ thuật cho việc thực hiện các cuộc xâm nhập mạng quy mô lớn. Hoạt động của đối tượng này đã hạ thấp đáng kể ngưỡng kỹ thuật cần thiết để khởi động các cuộc tấn công lớn.

Các Dịch Vụ và Sản Phẩm Chính

• Truy cập mạng doanh nghiệp: Bao gồm quyền truy cập vào các công ty ở nhiều khu vực, thường đi kèm với quyền thực thi mã từ xa (Remote Code Execution – RCE). Quyền RCE cung cấp cho người mua gần như toàn quyền kiểm soát các hệ thống mục tiêu, khiến các dịch vụ này đặc biệt hấp dẫn đối với các nhóm ransomware tìm kiếm chỗ đứng nhanh chóng và đáng tin cậy.
• Thông tin đăng nhập VPN bị đánh cắp: Cung cấp quyền truy cập từ xa hợp lệ vào các mạng nội bộ.
• Công cụ tùy chỉnh: Thiết kế để vượt qua các biện pháp bảo mật hiện có.

Hạ Tầng Hoạt Động và Công Cụ Khai Thác

Các nhà phân tích đã xác định r1z là một đối tượng rất năng động, gắn liền với khoảng 1.600 bài đăng trên các cộng đồng ngầm như XSS, Nulled, Altenen, RaidForums, BlackHatWorld và nhiều diễn đàn khác.

Các Công Cụ và Mã Khai Thác

Trên các nền tảng này, r1z không chỉ quảng cáo quyền truy cập mạng mà còn cung cấp:

• Một công cụ EDR-killer mạnh mẽ, được thiết kế để vô hiệu hóa các sản phẩm phát hiện và phản hồi điểm cuối.
• Các phiên bản Cobalt Strike đã bị bẻ khóa, cho phép người mua di chuyển ngang và duy trì quyền kiểm soát bên trong các mạng bị xâm nhập.

Cobalt Strike là một công cụ red-teaming hợp pháp nhưng thường bị lạm dụng bởi các tác nhân đe dọa để mô phỏng các kỹ thuật tấn công phức tạp. Phiên bản bẻ khóa giảm chi phí và rào cản tiếp cận cho các nhóm tội phạm mạng.

Chiến Dịch Điều Tra và Phát Hiện Xâm Nhập

Các nhà nghiên cứu của Kela đã ghi nhận rằng các cơ quan thực thi pháp luật đã bí mật xâm nhập vào các hoạt động của r1z. Một đặc vụ FBI cải trang thành khách hàng đã tiếp cận và mua quyền truy cập cùng với phần mềm độc hại tiên tiến có khả năng vô hiệu hóa nhiều sản phẩm phát hiện và phản hồi điểm cuối (EDR).

Sự hợp tác này cho phép các điều tra viên quan sát phương thức hoạt động của r1z trong thời gian thực, lập bản đồ hạ tầng của đối tượng và liên kết các dịch vụ của r1z với ít nhất một cuộc tấn công ransomware lớn. Điều này cũng mở đường cho việc liên kết biệt danh “r1z” với một cá nhân, người sau đó đã nhận tội bán quyền truy cập vào hàng chục công ty.

Bài Học về Rủi Ro Bảo Mật: Thất Bại Trong OPSEC

Bước ngoặt trong cuộc điều tra r1z không đến từ một sai lầm duy nhất, mà từ nhiều năm bảo mật vận hành (OPSEC) yếu kém. Các nhà phân tích của Kela lưu ý rằng đối tượng này đã liên tục sử dụng lại cùng tên người dùng, địa chỉ email, TOX ID và hình ảnh hồ sơ trên các diễn đàn, Telegram, trang web cá nhân và thậm chí cả các nền tảng chuyên nghiệp.

Dấu Vết OSINT và Cơ Chế Gán Ghép

Mô hình sử dụng lại thông tin này đã tạo ra một dấu vết OSINT (Open-Source Intelligence) phong phú mà các nhà phân tích có thể liên tục tương quan. Một tài khoản Gmail duy nhất, “gits.systems@gmail[.]com”, đã xuất hiện trong các cơ sở dữ liệu bị rò rỉ, đăng ký tên miền và hồ sơ mạng xã hội, tất cả đều chỉ quay trở lại đối tượng này.

Các trùng lặp này đã biến nỗ lực ẩn danh của r1z thành một điểm yếu. Các điều tra viên đã theo dõi tên miền sec-r1z.com, các hồ sơ WHOIS lịch sử, và liên kết nhãn hiệu “OrientalSecurity”. Những thông tin này đã tiết lộ các số điện thoại, địa điểm và sự hiện diện trên LinkedIn dưới các biến thể của tên thật của đối tượng. Phân tích chi tiết từ Kela đã làm nổi bật tầm quan trọng của việc duy trì OPSEC nghiêm ngặt.

Mỗi chi tiết được sử dụng lại đã củng cố khả năng gán ghép, cho thấy ngay cả những tác nhân đe dọa kỳ cựu cũng có thể tự làm suy yếu bản thân khi kỷ luật OPSEC lỏng lẻo. Đây là một cảnh báo nghiêm trọng về rủi ro bảo mật từ việc sơ suất trong quản lý thông tin cá nhân và kỹ thuật số.

Chỉ Số Thỏa Hiệp (IOCs)

Các chỉ số thỏa hiệp liên quan đến hoạt động của r1z bao gồm:

• Địa chỉ Email: gits.systems@gmail[.]com
• Tên miền: sec-r1z.com
• Biệt danh (Handle): r1z
• Thương hiệu liên quan: OrientalSecurity

Các tổ chức nên theo dõi và chặn các IOC này nếu phát hiện trong môi trường của mình để giảm thiểu nguy cơ xâm nhập mạng.

Lời Khuyên Cho Các Nhà Bảo Vệ

Đối với các chuyên gia an ninh mạng, trường hợp của r1z nhấn mạnh giá trị của việc giám sát liên tục các diễn đàn ngầm và tương quan dài hạn các tín hiệu danh tính. Việc này giúp phơi bày và làm gián đoạn các initial access broker trước khi các dịch vụ của họ biến thành làn sóng vi phạm dữ liệu tiếp theo.

Việc thực hiện các biện pháp OPSEC chặt chẽ không chỉ dành cho các tác nhân đe dọa mà còn là một bài học quan trọng cho mọi cá nhân và tổ chức trong việc bảo vệ thông tin. Mọi sơ suất nhỏ có thể dẫn đến những hậu quả nghiêm trọng về rủi ro bảo mật.