Trong thế giới tội phạm mạng luôn thay đổi, IntelBroker nổi lên như một nhân vật có ảnh hưởng lớn. Từ các vụ breach nổi tiếng đến khả năng điều phối hoạt động có hệ thống, IntelBroker đã khiến cả doanh nghiệp và các cơ quan chính phủ phải để mắt. KELA, một công ty chuyên về threat intelligence, đã tiến hành khảo sát sâu về dấu vết trực tuyến (OSINT traces) của IntelBroker để lộ ra những thông tin giá trị. Bài viết sau đây tóm lược những phát hiện nổi bật, nhằm giúp các tổ chức hiểu rõ hơn về mối đe dọa này.

IntelBroker: Ảnh Chân Dung Của Kẻ Lãnh Đạo Tội Phạm Mạng

• Xuất hiện từ cuối năm 2022 trên BreachForums, IntelBroker nhanh chóng xây dựng danh tiếng như một operator ransomware, rồi sau đó là tác nhân gây ra nhiều vụ leak dữ liệu quan trọng.
  
• Theo thời gian, IntelBroker chuyển mình thành vai trò lãnh đạo, kiểm soát BreachForums – một diễn đàn hacker tai tiếng.
  
• Các nạn nhân gồm những tổ chức lớn như AMD, Europol, Cisco,… với dữ liệu nhạy cảm bị đánh cắp và yêu cầu chuộc bằng tiền mã hóa Monero (XMR).
  
• IntelBroker nổi bật không chỉ vì kỹ năng kỹ thuật mà còn nhờ OpSec (Operational Security) cao; ưu tiên exploit vulnerability, sử dụng công cụ ẩn danh (anonymity tools) để che giấu dấu vết và hoạt động.

Dấu Vết OSINT: Cửa Sổ Hé Lộ Hoạt Động Của IntelBroker

1. Email Trails: Kết Nối Các Điểm

• Có nhiều email liên quan đến username “IntelBroker”, trong đó 4 email được xác thực rõ ràng là của hắn.
  
• Email từ domain cock.li có liên kết với tài khoản X (trước đây là Twitter) bị ban.
  
• Email từ proton.me xuất hiện trong leak của BreachForums V2.
  
• Một email từ domain national.shitposting.agency từng được IntelBroker dùng trên profile BreachForums, cũng đăng ký trên Skype, Microsoft; có dấu hiệu dùng VPN để giả vị trí.

2. Sử Dụng VPN và Phân Tích IP

• IntelBroker sử dụng Mullvad VPN (dịch vụ no-logs) nhiều nhất, sau đó là TunnelBear; các dịch vụ khác như NordVPN, VeePN, VPNAsia được dùng ít hơn.
  
• Nhiều kết nối VPN có IP xuất phát từ Serbia – trùng với nơi IntelBroker tự nhận – nhưng cũng có dấu hiệu giả vị trí (false trails) từ Ashburn (Virginia), Amsterdam.
  

3. Kết Nối Với Minecraft

• Phát hiện ít nhất hai tài khoản Minecraft có liên quan (“ClamAV” & “Thick”). “ClamAV” được tạo năm 2020, ghi vị trí Serbia; dữ liệu leak cho thấy tài khoản dùng proxy/VPN từ Hà Lan và Pháp.
  
• Tài khoản “Thick” xuất hiện trong một video Minecraft được cộng tác với kênh YouTube “The Duper Trooper”, sử dụng tên người dùng từ năm 2010. IP từ Florida – không phải VPN trong một số trường hợp; nhưng chưa rõ người tạo tài khoản có trực tiếp sử dụng hay mua sau này.

4. Liên Kết Với “AgainstTheWest (ATW)”

• KELA phát hiện sự tương đồng trong phong cách viết và dùng từ giữa bài viết của IntelBroker và nhóm AgainstTheWest – nổi tiếng với các cuộc tấn công nhằm vào tổ chức Trung Quốc.
  
• Điểm đáng chú ý là cả hai sử dụng cùng một địa chỉ crypto XMR trong profile của mình.
  
• Thông qua reverse email searches, các email liên quan được tìm thấy trong các leak diễn đàn hacker và các trang như Medium, GitHub,… nhưng không có bằng chứng chắc chắn rằng IntelBroker đồng thời thực sự điều hành hoặc là phần của ATW.
  

Chiến Thuật Của IntelBroker: Bản Kế Hoạch Cho Tội Phạm Hiện Đại

Từ các dấu vết OSINT và phân tích của KELA, IntelBroker áp dụng một phương pháp có hệ thống:

• Initial Access: tận dụng vulnerability mở trên các server công khai như Jenkins, hoặc sử dụng credentials bị đánh cắp từ infostealer.
  
• Persistence & Privilege Escalation: duy trì quyền truy cập dài hạn, leo thang quyền hạn trong hệ thống.
  
• Data Exfiltration & Monetization: nhắm vào các mục tiêu giá trị cao; sử dụng cả việc bán dữ liệu trực tiếp và tống tiền.

Tại Sao OSINT Quan Trọng Trong Threat Intelligence

• Phân tích email trails, hoạt động VPN, các nền tảng không ngờ tới như Minecraft, và dữ liệu leak từ diễn đàn hacker cho thấy OSINT có sức mạnh lớn trong việc tiết lộ mạng lưới ngầm của tội phạm mạng.
  
• Thông tin này không chỉ hữu ích cho lực lượng thực thi pháp luật, mà còn giúp các tổ chức nâng cao phòng thủ trước các mối đe dọa ngày càng tinh vi.

Kết Luận: Toàn Cảnh IntelBroker Với Nghiên Cứu Của KELA

IntelBroker là hiện thân của sự tinh vi trong tội phạm mạng ngày nay — kết hợp giữa kỹ thuật cao với chiêu trò ẩn danh chiến lược. Nghiên cứu của KELA đã làm rõ phương thức hoạt động, các dấu vết OSINT quan trọng và đưa ra intelligence actionable để đối phó với các mối đe dọa tương tự.

Giải pháp cung cấp thông tin của hãng: 

Unitas là nhà phân phối ủy quyền tại Việt Nam của các công ty công nghệ thế giới: Commvault, ExaGrid, VergeIO, Nexsan, DDN, Tintri, MinIO, LogicMonitor, Netgain, Kela, UltraRed, Quokka, An toàn, Hackuity, Cyabra, Cymetrics, ThreatDown, F-Secure, OutSystems, Micas Networks …. Với kinh nghiệm và sự am hiểu sâu sắc, Unitas cam kết mang đến cho khách hàng những sản phẩm chất lượng cùng dịch vụ hỗ trợ chuyên nghiệp. Hãy chọn  Unitas  để đảm bảo bạn nhận được giải pháp tối ưu và đáng tin cậy nhất cho nhu cầu của mình.

Liên hệ  Unitas  ngay hôm nay để được tư vấn chi tiết!