Trong bức tranh phức tạp và ngày càng tinh vi của tội phạm mạng hiện nay, Access Broker (người môi giới quyền truy cập) đã nổi lên như một mắt xích quan trọng trong chuỗi cung ứng tấn công mạng. Những tác nhân này chuyên mua bán quyền truy cập vào hệ thống doanh nghiệp – thường là kết quả của các chiến dịch khai thác điểm yếu, tấn công brute-force hoặc đánh cắp thông tin xác thực. Đây là bước khởi đầu hoàn hảo để các nhóm ransomware và hacker APT tiến hành các cuộc tấn công quy mô lớn.

Vậy Access Broker là ai? Họ hoạt động ra sao? Và tại sao lại cần theo dõi họ một cách sát sao?

Access Broker là ai?

Access Broker là các tác nhân chuyên bán quyền truy cập vào hệ thống mạng của các tổ chức, doanh nghiệp. Những quyền truy cập này thường ở cấp độ quản trị (administrator-level) và được cung cấp đầy đủ thông tin như:

• Tên miền nội bộ

• Thông tin đăng nhập từ xa

• VPN

• RDP (Remote Desktop Protocol)

• Và các hình thức truy cập từ xa khác
  

Điều đáng lo ngại là các Access Broker không chỉ hoạt động đơn lẻ mà còn đóng vai trò trung gian trong một hệ sinh thái tội phạm mạng rộng lớn, nơi mà ransomware operators, data extortion groups và các nhóm APT đều có thể là khách hàng.

Quy trình hoạt động của Access Broker

Quy trình cơ bản của một Access Broker có thể chia thành ba giai đoạn:

1. Xâm nhập ban đầu (Initial Access):
   Sử dụng nhiều kỹ thuật khác nhau như:
   • Tấn công brute-force

   • Phishing (lừa đảo)

   • Khai thác lỗ hổng phần mềm chưa được vá (unpatched vulnerabilities)

   • Mua thông tin đăng nhập từ các chợ đen

2. Kiểm tra và đánh giá quyền truy cập:
   Sau khi xâm nhập thành công, Access Broker sẽ xác định mức độ quyền truy cập, khả năng lateral movement và thông tin giá trị có thể khai thác.

3. Chào bán trên dark web hoặc Telegram:
   Các quyền truy cập sẽ được rao bán trên các forum hoặc marketplace dưới dạng:
   • Đấu giá công khai

   • Thương lượng riêng (private deal)

   • Theo gói (kèm theo thông tin đăng nhập, network map, domain info…)
     

Giá cả sẽ phụ thuộc vào:

• Quy mô doanh nghiệp

• Mức độ truy cập

• Quốc gia

• Lĩnh vực hoạt động (ví dụ: tài chính, y tế, năng lượng…)

Vai trò của Access Broker trong chuỗi tấn công

Trong các chiến dịch ransomware-as-a-service (RaaS), các nhóm vận hành ransomware thường không thực hiện khâu xâm nhập ban đầu. Thay vào đó, họ mua quyền truy cập từ các Access Broker, sau đó triển khai mã độc tống tiền (ransomware) để mã hóa dữ liệu và yêu cầu tiền chuộc.

Tương tự, các nhóm gián điệp mạng (APT) cũng có thể tận dụng quyền truy cập này để thực hiện hoạt động do thám, đánh cắp dữ liệu hoặc tấn công phá hoại.

Access Broker chính là cầu nối giúp những nhóm tấn công này tiết kiệm thời gian, công sức và rủi ro khi thâm nhập vào mục tiêu.

Các xu hướng mới nổi trong hoạt động của Access Broker

1. Tăng cường sử dụng Telegram

Telegram đang trở thành nền tảng phổ biến để các Access Broker rao bán quyền truy cập. Với tính năng mã hóa đầu cuối, hỗ trợ kênh riêng tư và ẩn danh, Telegram là công cụ lý tưởng cho các hoạt động phi pháp mà không lo bị phát hiện.

KELA ghi nhận hàng trăm kênh và nhóm Telegram có hoạt động liên quan đến môi giới truy cập. Nội dung rao bán rất cụ thể, ví dụ:

• “Access vào công ty sản xuất của Mỹ – Doanh thu $500M – RDP Admin”

• “VPN vào ngân hàng tại châu Âu – xác thực 2FA – Domain credentials”
  

2. Rao bán “full network access”

Không dừng lại ở một vài thông tin đăng nhập, nhiều Access Broker hiện nay cung cấp truy cập toàn diện vào hệ thống doanh nghiệp, bao gồm:

• Active Directory

• Email nội bộ

• File server

• Toàn bộ hạ tầng mạng
  

Đây là loại quyền truy cập cực kỳ nguy hiểm, giúp hacker dễ dàng điều hướng bên trong tổ chức và thực hiện nhiều loại tấn công phối hợp.

3. Nhắm đến các tổ chức lớn và ngành trọng yếu

Các Access Broker ngày càng tập trung vào các tổ chức lớn, có ngân sách lớn và dữ liệu nhạy cảm. Đặc biệt là các tổ chức trong lĩnh vực:

• Tài chính – ngân hàng

• Y tế – chăm sóc sức khỏe

• Chính phủ

• Năng lượng – hạ tầng thiết yếu
  

Mục tiêu là tìm kiếm các khách hàng sẵn sàng chi trả cao cho quyền truy cập chất lượng.

Làm gì để đối phó với Access Broker?

Việc theo dõi và phân tích hoạt động của Access Broker là một phần không thể thiếu trong chiến lược phòng thủ chủ động (proactive defense). Các tổ chức nên:

• Giám sát dark web, Telegram và các forum tội phạm mạng để phát hiện các rao bán có liên quan đến hệ thống của mình

• Triển khai các giải pháp EDR/XDR để phát hiện xâm nhập sớm

• Thường xuyên rà soát và thay đổi thông tin xác thực – đặc biệt là với các tài khoản có quyền cao

• Cập nhật các bản vá bảo mật định kỳ

• Huấn luyện nhận thức an ninh mạng cho nhân viên, tránh rơi vào các chiến dịch phishing dẫn đến rò rỉ thông tin

Kết luận

Access Broker là nhân tố trung gian đầy nguy hiểm trong hệ sinh thái tấn công mạng. Họ không chỉ là “kẻ mở cửa” cho các cuộc tấn công quy mô lớn mà còn đang định hình lại cách mà tội phạm mạng hoạt động – nhanh hơn, tinh vi hơn và khó truy vết hơn.

Việc hiểu rõ vai trò, phương thức hoạt động và xu hướng phát triển của Access Broker sẽ giúp các tổ chức xây dựng hệ thống phòng thủ chủ động, ngăn chặn xâm nhập từ sớm và giảm thiểu rủi ro từ các cuộc tấn công mạng hiện đại.

Thông tin hãng cung cấp giải pháp

Unitas là nhà phân phối ủy quyền tại Việt Nam của các hãng công nghệ lớn của thế giới: Commvault, ExaGrid, VergeIO, Nexsan, DDN, Tintri, MinIO, LogicMonitor, Netgain, Kela, UltraRed, Quokka, Safous, Hackuity, Cyabra, Cymetrics, ThreatDown, F-Secure, OutSystems, Micas Networks …. Với kinh nghiệm và sự am hiểu sâu sắc, Unitas cam kết mang đến cho khách hàng những sản phẩm chất lượng cùng dịch vụ hỗ trợ chuyên nghiệp. Hãy lựa chọn Unitas để đảm bảo bạn nhận được giải pháp tối ưu và đáng tin cậy nhất cho nhu cầu của mình.

Liên hệ Unitas ngay hôm nay để được tư vấn chi tiết!