Tấn công lừa đảo Gitlocker
Trong bối cảnh các mối đe dọa an ninh mạng ngày càng phát triển, một chiến dịch tấn công Gitlocker mới đã xuất hiện, nhắm vào các kho lưu trữ GitHub. Hoạt động này liên quan đến việc các tác nhân độc hại xâm phạm tài khoản, xóa nội dung kho lưu trữ và yêu cầu nạn nhân liên hệ với họ qua Telegram để được hướng dẫn thêm. Bài viết này đi sâu vào chi tiết cụ thể của chiến dịch này, phương thức hoạt động của nó và các biện pháp bảo mật được đề xuất để bảo vệ khỏi các cuộc tấn công như vậy.
Mục lục
Phương thức tấn công
Những kẻ tấn công trong chiến dịch Gitlocker đang nhắm mục tiêu cụ thể vào kho lưu trữ GitHub. Sau khi có quyền truy cập vào kho lưu trữ, họ sẽ tiến hành xóa nội dung của nó. Sau đó, những kẻ tấn công đổi tên kho lưu trữ và để lại tệp README.me kèm theo thông báo đòi tiền chuộc, hướng dẫn nạn nhân liên hệ với họ trên Telegram.
Thông tin xác thực bị đánh cắp
Kẻ đe dọa đằng sau chiến dịch này, hoạt động dưới tên Gitloker trên Telegram, dường như có quyền truy cập vào tài khoản GitHub bằng thông tin đăng nhập bị đánh cắp. Đóng vai trò là nhà phân tích sự cố mạng, họ tuyên bố đã sao lưu dữ liệu bị xâm phạm và đề nghị giúp khôi phục dữ liệu đó. Toàn văn giấy đòi tiền chuộc có nội dung:
'Tôi hy vọng bài này thấy bạn tốt. Đây là thông báo khẩn cấp để thông báo cho bạn rằng dữ liệu của bạn đã bị xâm phạm và chúng tôi đã bảo đảm một bản sao lưu.'
Phản hồi và Khuyến nghị
Sau các cuộc tấn công trước đó, GitHub đã khuyên người dùng thay đổi mật khẩu để bảo mật tài khoản của họ khỏi bị truy cập trái phép. Hành động này rất quan trọng để ngăn chặn các hoạt động độc hại như thêm khóa SSH mới, ủy quyền ứng dụng mới hoặc sửa đổi thành viên nhóm.
Các biện pháp an ninh nâng cao
Để ngăn chặn sự xâm phạm thêm và phát hiện các hoạt động đáng ngờ, người dùng được khuyến khích thực hiện các biện pháp bảo mật sau:
- Bật xác thực hai yếu tố (2FA) : Thêm một lớp bảo mật bổ sung cho quá trình đăng nhập.
- Thêm mật mã : Để đăng nhập an toàn, không cần mật khẩu.
- Xem xét và thu hồi quyền truy cập trái phép : Thường xuyên kiểm tra và quản lý các khóa SSH, khóa triển khai và tích hợp được ủy quyền.
- Xác minh địa chỉ email : Đảm bảo tất cả các địa chỉ email được liên kết đều chính xác và an toàn.
- Xem lại Nhật ký bảo mật tài khoản : Theo dõi các thay đổi trong kho lưu trữ để xác định mọi sửa đổi trái phép.
- Quản lý Webhooks : Thường xuyên kiểm tra và quản lý webhooks trên kho lưu trữ.
Bối cảnh lịch sử của sự thỏa hiệp GitHub
Cuộc tấn công Gitlocker không phải là một sự cố cá biệt. Các tài khoản GitHub trước đây đã bị nhắm mục tiêu và bị xâm phạm, dẫn đến vi phạm dữ liệu nghiêm trọng.
Tháng 3 năm 2020 Vi phạm Microsoft : Tin tặc đã xâm nhập tài khoản của Microsoft, đánh cắp hơn 500GB tệp từ kho lưu trữ riêng tư. Mặc dù dữ liệu bị đánh cắp chủ yếu bao gồm các mẫu mã và dự án thử nghiệm, nhưng vẫn có những lo ngại về việc lộ khóa và mật khẩu API riêng tư. Kẻ đe dọa ShinyHunters cuối cùng đã rò rỉ dữ liệu miễn phí sau khi dự định bán nó ban đầu.
Chiến dịch lừa đảo tháng 9 năm 2020 : Người dùng GitHub đã bị nhắm mục tiêu trong một chiến dịch lừa đảo liên quan đến các thông báo CircleCI giả mạo. Những kẻ tấn công nhằm mục đích đánh cắp thông tin xác thực GitHub và mã 2FA thông qua proxy ngược. Sau khi xâm phạm tài khoản, họ lọc dữ liệu và thêm tài khoản người dùng mới để duy trì quyền truy cập liên tục.
Phần kết luận
Cuộc tấn công lừa đảo Gitlocker nhấn mạnh mối đe dọa dai dẳng đối với các kho lưu trữ trực tuyến và tầm quan trọng của các biện pháp bảo mật mạnh mẽ. Bằng cách triển khai các biện pháp bảo mật được khuyến nghị và luôn cảnh giác, người dùng có thể bảo vệ tài khoản GitHub của mình tốt hơn khỏi bị truy cập trái phép và có thể bị mất dữ liệu. Khi các mối đe dọa mạng tiếp tục phát triển, việc duy trì cách tiếp cận chủ động về bảo mật là điều cần thiết để bảo vệ các tài sản kỹ thuật số có giá trị.