Phân Tích Chuyên Sâu Về Thông Tin Đăng Nhập Bị Rò Rỉ (Leaked Credentials) Và Tài Khoản Bị Xâm Phạm (Compromise Accounts)

Trong bối cảnh các cuộc tấn công mạng ngày càng phức tạp, việc hiểu rõ sự khác biệt giữa thông tin đăng nhập bị rò rỉ (leaked credentials) và tài khoản bị xâm phạm (compromised accounts) là tối quan trọng đối với mọi tổ chức. Bài viết này sẽ cung cấp một phân tích kỹ thuật chuyên sâu về nguồn gốc, cơ chế khai thác, và những rủi ro chiến lược mà từng loại mối đe dọa này gây ra. Đặc biệt, chúng ta sẽ đi sâu vào vai trò then chốt của Infostealers và thị trường ngầm tội phạm mạng, đồng thời nhấn mạnh sự cần thiết của các giải pháp tình báo mối đe dọa chủ động để bảo vệ danh tính trong kỷ nguyên kỹ thuật số hiện nay.

Thông Tin Đăng Nhập Bị Rò Rỉ (Leaked Credentials): Dữ liệu Tĩnh Và Rủi Ro Bề Mặt

Thuật ngữ “thông tin đăng nhập bị rò rỉ” ám chỉ các cặp tên người dùng và mật khẩu (hoặc các dạng thông tin xác thực khác như giá trị băm – password hashes) đã bị lộ ra công chúng do các sự cố an ninh mạng. Đây là loại dữ liệu tĩnh, thường được thu thập từ các vụ vi phạm dữ liệu của bên thứ ba (third-party breaches) hoặc các cơ sở dữ liệu bị xâm phạm. Khi một tổ chức bị tấn công và dữ liệu người dùng của họ bị đánh cắp, các thông tin này (bao gồm cả PII – Personally Identifiable Information) sẽ bị “rò rỉ” ra ngoài.

Đặc điểm nổi bật:

Nguồn gốc: Chủ yếu từ các vụ data breach quy mô lớn của các nhà cung cấp dịch vụ, ứng dụng, hoặc các bên thứ ba khác mà người dùng có tài khoản.
Bản chất dữ liệu: Là các bản ghi tĩnh, thường là danh sách các cặp username:password hoặc email:password được lưu trữ trong các file dump. Trong nhiều trường hợp, mật khẩu không phải là văn bản rõ ràng (cleartext) mà ở dạng đã được băm (hashed) hoặc mã hóa, làm tăng độ khó khăn cho kẻ tấn công trong việc sử dụng ngay lập tức mà không qua quá trình bẻ khóa (cracking).
Phạm vi: Theo định nghĩa, tất cả thông tin đăng nhập rò rỉ từ một vụ vi phạm cụ thể đều thuộc về một tổ chức gốc bị tấn công. Do đó, phạm vi khai thác ban đầu của một bộ rò rỉ thường giới hạn ở các tài khoản trong phạm vi đó.
Khai thác: Tội phạm mạng thường sử dụng các danh sách thông tin đăng nhập rò rỉ để thực hiện các cuộc tấn công Credential Stuffing (tự động thử các cặp thông tin đăng nhập trên nhiều dịch vụ khác, dựa trên giả định người dùng tái sử dụng mật khẩu) hoặc Password Spraying (thử một vài mật khẩu phổ biến trên một lượng lớn tên người dùng).

KELA Insight: Nền tảng KELA cung cấp khả năng tìm kiếm sâu rộng trong cơ sở dữ liệu khổng lồ của chúng tôi, chứa hàng tỷ điểm dữ liệu email-mật khẩu-metadata. Các kỹ sư an ninh có thể truy vấn theo tên miền tổ chức của mình để nhanh chóng phát hiện các thông tin đăng nhập đã bị rò rỉ, từ đó chủ động thực hiện các biện pháp khắc phục như đặt lại mật khẩu hoặc thông báo cho người dùng.

Tài Khoản Bị Xâm Phạm (Compromised Accounts): Quyền Truy Cập Động Và Mối Đe Dọa Tức Thì

Ngược lại với thông tin đăng nhập rò rỉ, tài khoản bị xâm phạm không phải là các vụ rò rỉ từ bên thứ ba mà là các “rò rỉ của bên thứ nhất” (first-party leaks), thường xuất phát từ các máy tính cá nhân hoặc thiết bị đầu cuối đã bị nhiễm phần mềm đánh cắp thông tin (Infostealers). Đây là loại mối đe dọa mang tính động và trực tiếp hơn nhiều.

Đặc điểm nổi bật:

Nguồn gốc chính: Máy tính bị nhiễm Infostealers. Infostealers là loại malware được thiết kế để thu thập một lượng lớn thông tin từ thiết bị bị nhiễm.
Phạm vi dữ liệu: Khi một Infostealer lây nhiễm vào một thiết bị, nó có thể đánh cắp và truyền tải một lượng lớn dữ liệu đa dạng hơn nhiều so với các vụ vi phạm cơ sở dữ liệu truyền thống. Điều này bao gồm:
- Thông tin đăng nhập từ các trình duyệt (browser autofills, saved passwords): Hầu hết người dùng lưu thông tin đăng nhập cho hàng trăm trang web và dịch vụ trong trình duyệt của họ.
- Cookies phiên làm việc (session cookies): Cho phép kẻ tấn công vượt qua quá trình xác thực ban đầu (bao gồm cả MFA trong một số trường hợp) bằng cách tiêm cookie vào trình duyệt của chúng, qua đó chiếm đoạt phiên làm việc hợp lệ (session hijacking).
- Dữ liệu từ ví tiền điện tử (cryptocurrency wallets).
- Thông tin hệ thống chi tiết (OS, phần mềm cài đặt, cấu hình phần cứng).
Tính khả dụng của mật khẩu: Một điểm khác biệt quan trọng là thông tin xác thực được thu thập bởi Infostealers thường ở dạng văn bản rõ ràng (plaintext), khiến chúng dễ dàng sử dụng và khai thác hơn nhiều so với mật khẩu đã được băm từ các vụ rò rỉ bên thứ ba.
Tác động: Một máy tính bị xâm phạm bởi Infostealer có thể mở ra quyền truy cập vào hàng trăm tài khoản và dịch vụ được sử dụng bởi chủ sở hữu máy đó, không chỉ giới hạn trong một tổ chức duy nhất. Điều này tạo ra một vectơ tấn công mạnh mẽ và đa diện, có thể dẫn đến tấn công chuỗi cung ứng, như vụ việc Snowflake, nơi thông tin xác thực bị đánh cắp từ Infostealers được khai thác để nhắm mục tiêu vào hàng trăm khách hàng của họ.

KELA Insight: Nền tảng KELA cung cấp quyền truy cập vào dữ liệu được thu thập bởi phần mềm độc hại đánh cắp thông tin từ nhiều thị trường botnet khác nhau. Chúng tôi không chỉ trình bày thông tin xác thực thu thập từ “đám mây logs” và nhiều nguồn khác, mà còn cảnh báo về các mục nhập thị trường mới để tạo điều kiện gỡ bỏ dữ liệu mà không cần phải phơi bày thông tin xác thực.

“Chợ Đen” Dữ Liệu: Botnet Markets vs. Clouds of Logs

Giống như bất kỳ thị trường nào, thị trường tội phạm mạng cũng hoạt động dựa trên cung và cầu, với các sản phẩm hấp dẫn và giá cả cạnh tranh. Trong trường hợp này, “sản phẩm” chính là các tên người dùng và mật khẩu bị đánh cắp.

Botnet Markets (Thị trường Botnet): Đây là các nền tảng trực tuyến nơi tội phạm mạng có thể mua bán quyền truy cập vào các “bot” (máy tính bị nhiễm) và dữ liệu cụ thể từ các máy đó. Ví dụ điển hình là Russian Market và 2easy, với 2easy đã chịu trách nhiệm bán ra hơn 1.88 triệu logs kể từ năm 2020. Các thị trường này cho phép kẻ tấn công tìm kiếm mục tiêu cụ thể theo vị trí địa lý, hệ điều hành hoặc tên miền trước khi giao dịch.
Bot Dumps / Clouds of Logs (Bot / Đám mây Logs): Một xu hướng ngày càng phổ biến là mô hình đăng ký (subscription model) để truy cập vào các “đám mây logs”. Tội phạm mạng thường gửi một “bot dump” (tất cả dữ liệu thu thập được từ các bot) hàng ngày, thường thông qua Telegram, được thu thập từ nhiều chủng Infostealers khác nhau.

Bảo Vệ Tổ Chức Khỏi Tài Khoản Bị Xâm Phạm Và Thông Tin Đăng Nhập Rò Rỉ

Với hơn 50% các cuộc tấn công mạng sử dụng tài khoản và thông tin đăng nhập hợp lệ, việc triển khai các biện pháp phòng thủ mạnh mẽ là điều bắt buộc. Mục tiêu không chỉ là bảo vệ mà còn là làm cho dữ liệu bị đánh cắp trở nên vô dụng đối với kẻ tấn công.

Các biện pháp phòng thủ cốt lõi:

Triển khai xác thực đa yếu tố (MFA): Đây là tuyến phòng thủ đầu tiên và quan trọng nhất. Ngay cả khi thông tin đăng nhập bị rò rỉ, MFA sẽ làm cho việc truy cập trở nên khó khăn hơn đáng kể.
Xoay vòng mật khẩu thường xuyên và thực thi chính sách mật khẩu mạnh: Đảm bảo nhân viên thay đổi mật khẩu định kỳ và tuân thủ các quy tắc mật khẩu mạnh (độ dài, phức tạp, không tái sử dụng). Hãy nhớ rằng, việc chỉ thay đổi từ “Password1!” thành “Password2!” không mang lại bất kỳ sự bảo vệ nào đáng kể.
Quản lý vòng đời tài khoản (Account Lifecycle Management) nghiêm ngặt:
- Vô hiệu hóa tài khoản ngay lập tức khi nhân viên rời khỏi tổ chức: Ngay cả khi vẫn còn bánh chia tay trong bếp, tài khoản của nhân viên đã nghỉ việc phải được xóa hoặc vô hiệu hóa ngay lập tức. Việc thiếu quy trình rời đi chặt chẽ là một lỗ hổng lớn.
- Quản lý tài khoản khi thay đổi vai trò: Khi nhân viên thay đổi vị trí, quyền truy cập của họ phải được điều chỉnh phù hợp với vai trò mới theo nguyên tắc đặc quyền tối thiểu (Least Privilege).
- Xóa tài khoản thử nghiệm/tạm thời: Các tài khoản chỉ cần thiết trong một khoảng thời gian giới hạn phải được xóa ngay sau khi hoàn thành mục đích sử dụng.
- Bài học từ Midnight Blizzard: Vụ tấn công Midnight Blizzard vào Microsoft, nơi kẻ tấn công giành được quyền kiểm soát bằng cách xâm phạm một tài khoản kiểm thử không sản xuất cũ (legacy non-production test tenant account), là một minh chứng rõ ràng cho hậu quả của việc quản lý tài khoản lỏng lẻo.

Thách thức của các biện pháp truyền thống:

Đáng tiếc, các phương pháp trên không phải lúc nào cũng hoàn hảo. Một số yếu tố được tìm thấy trong tệp bot (như cookies phiên làm việc) có thể cho phép tác nhân đe dọa bỏ qua MFA và giành được quyền truy cập ban đầu vào các dịch vụ kinh doanh quan trọng. Điều này nhấn mạnh sự cần thiết của một lớp bảo vệ bổ sung.

Tình Báo Mối Đe Dọa Liên Tục: Chủ Động Giám Sát Để Phát Hiện Và Phản Ứng

Vì hơn một nửa số cuộc tấn công mạng hiện nay sử dụng tài khoản hợp lệ, và các tài khoản bị xâm phạm có thể hoạt động âm thầm trong thời gian dài (trung bình 292 ngày để phát hiện và khống chế), chiến lược phòng thủ tối ưu là phải có khả năng liên tục giám sát các hoạt động tội phạm. Mục tiêu là luôn đi trước các TTPs (Tools, Tactics, and Procedures) mới nhất, các nhóm đe dọa mới nổi, và các tài khoản có nguy cơ bị xâm phạm.

Đây chính là nơi các giải pháp Tình báo Mối đe dọa Mạng (Cyber Threat Intelligence – CTI) như KELA phát huy vai trò không thể thiếu. KELA không chỉ là một công cụ, mà là một đội ngũ chuyên gia và công nghệ được thiết kế để:

Cung cấp khả năng hiển thị sâu rộng vào thế giới ngầm tội phạm: Liên tục theo dõi các diễn đàn dark web, thị trường botnet, kênh Telegram, và các nguồn thông tin bí mật khác nơi các logs và tài khoản bị xâm phạm được mua bán, trao đổi.
Chặn và cảnh báo sớm: Phát hiện và cảnh báo tức thì về các tài sản và tài khoản bị xâm phạm liên quan đến tên miền, địa chỉ IP, email và các ứng dụng SaaS của tổ chức bạn.
Hỗ trợ phản ứng nhanh: Với thông tin tình báo liên tục, bạn có thể kích hoạt ngay lập tức các biện pháp ứng phó sự cố (Incident Response) như cách ly máy bị nhiễm, đặt lại mật khẩu cho tài khoản bị xâm phạm, hoặc buộc thực thi MFA.
Gỡ bỏ dữ liệu bị đánh cắp: Hỗ trợ các dịch vụ gỡ bỏ (takedown services) để loại bỏ thông tin xác thực bị đánh cắp khỏi các thị trường ngầm, làm giảm giá trị khai thác của chúng.
Phân tích TTPs và hành vi của tác nhân đe dọa: Cung cấp thông tin chi tiết về các kế hoạch, quy trình và phương pháp của các nhóm đe dọa, giúp bạn hiểu rõ cách chúng hoạt động và chuẩn bị cho các cuộc tấn công trong tương lai.
Trực quan hóa bối cảnh Infostealer: Cung cấp cái nhìn tổng quan về các công cụ, chủng malware mới, và các dịch vụ Malware-as-a-Service (MaaS) đang nổi lên.

Bằng cách áp dụng một chiến lược bảo mật danh tính chủ động và tận dụng các giải pháp tình báo mối đe dọa liên tục như KELA, các tổ chức không chỉ có thể phản ứng hiệu quả hơn mà còn ngăn chặn các cuộc tấn công ngay từ giai đoạn đầu, trước khi chúng gây ra thiệt hại nghiêm trọng. Việc bảo vệ danh tính của người dùng và các tài khoản trong hệ thống không chỉ là một nhiệm vụ của phòng ban IT, mà là một yếu tố sống còn cho sự liên tục và bền vững của doanh nghiệp trong môi trường kỹ thuật số đầy thách thức hiện nay.

Kela có cung cấp Ebook để bạn đọc vào hiểu rõ hơn về Ransomware hay các kiến thức về bảo mật và an toàn thông tin, đường link download Ebook của Kela tại đây.

Unitas là nhà phân phối ủy quyền tại Việt Nam của các hãng công nghệ lớn của thế giới: Commvault, ExaGrid, VergeIO, Nexsan, DDN, Tintri, MinIO, LogicMonitor, Netgain, Kela, UltraRed, Quokka, Safous, Hackuity, Cyabra, Cymetrics, ThreatDown, F-Secure, OutSystems, Micas Networks …. Với kinh nghiệm và sự am hiểu sâu sắc, Unitas cam kết mang đến cho khách hàng những sản phẩm chất lượng cùng dịch vụ hỗ trợ chuyên nghiệp. Hãy lựa chọn Unitas để đảm bảo bạn nhận được giải pháp tối ưu và đáng tin cậy nhất cho nhu cầu của mình.

Liên hệ Unitas ngay hôm nay để được tư vấn chi tiết!