Đội ngũ Drift vừa đưa ra thông báo mới cập nhật tình hình điều tra vụ hack vừa rồi (thiệt hại $280M). Họ đang đặt nghi vấn (với khả năng cao) là các hacker Bắc Hàn đã thuê “chim mồi” người nước ngoài để tiếp cận đội ngũ Drift, đóng giả là công ty chuyên quant trading muốn tích hợp vào hệ thống của Drift. Chiến dịch tiếp cận đã diễn ra trong 6 tháng vừa qua, nhiều lần tiếp cận với phong thái làm việc chuyên nghiệp, lý lịch chuẩn chỉnh và rất “thực tế” trong kiến thức kỹ thuật và chuyên môn, không để lộ ra nhiều điểm nghi vấn để bị phát hiện. Những “chim mồi” này còn ký gửi $1 triệu đô vào sản phẩm mà họ đã tích hợp với Drift, căn bản là tự ký gửi vào bản thân mình nhưng chứng minh được là đội ngũ có tài chính tốt và xây dựng được niềm tin. Hiện tại nhóm chat với các đối tượng này đã bị xoá đơn phương bởi nhóm hacker, những phần mềm hacker gửi cũng đã không còn truy cập được. Mandiant là đơn vị giám định an ninh mạng cho rằng nhóm hacker tấn công Drift là UNC4736 (một nhóm hacker liên quan đến chính phủ Bắc Hàn, còn có tên khác là AppleJesus hoặc Citrine Street). Phương án tấn công hiện tại chưa xác định 100%, có thể là thông qua các bộ mã nguồn chia sẻ chung, có thể thông qua một số app thử nghiệm, có thể do một số thủ thuật liên qua đến VSCode chạy script khi mở thư mục. Mình để đường link bài viết thông báo của nhóm Drift trên X (trích dẫn 1) cho mọi người đọc thêm nhé.
Là một người hoạt động trong ngành tài sản mã hoá, tớ đã thấy rất nhiều đồng nghiệp của tớ có quy trình OpSec lỏng lẻo. Gần đây có nhiều đồng nghiệp bị hack tài khoản Telegram, thường thông qua chiêu trò vào call họp, sau đó bên kia sẽ nói là có vấn đề về âm thanh, cần phải chạy một cái lệnh trong terminal để cài drive, chạy là tải luôn phần mềm độc hại về máy, cho kẻ xấu khả năng chiếm đoạt các loại session token trên ứng dụng nhắn tin và mạng xã hội, khoá bí mật, ví tài sản mã hoá, v.v…. Vì thế tớ rất hay từ chối call, thường chỉ nhắn tin thôi (tớ không tải file, không dùng thử app); nếu có call thì chỉ google meet trên browser, không dùng những phần mềm nào khác. Với tớ cũng muốn gửi thông điệp đến mọi đồng nghiệp đang làm việc trong ngành (cả người làm kỹ thuật và người làm kinh doanh) là đã đến lúc các bạn phải thực sự chỉn chu về quy trình OpSec. Bảo vệ bản thân bạn là bảo vệ người thân, cộng đồng và khách hàng của bạn.
Mong nhất là nếu bạn nào đã từng bị tấn công thì xin bạn đừng im lặng. Hãy viết về sự cố đó và chia sẻ với mọi người để chúng ta cùng nhau suy nghĩ phương án phòng chống. Chỉ có minh bạch mới mở ra lựa chọn cho bạn. Bạn đừng nghĩ giấu quy trình hay ẩn mã nguồn sẽ cứu bạn, vì kẻ xấu luôn có thể hối lộ nhân sự của bạn để khai sạch thông tin hoặc dùng hàng loạt các chiêu trò như tuyển dụng lừa đảo để tấn công. Khi bạn minh bạch, ít ra sẽ có những người tâm huyết vì cộng đồng xem qua và giúp bạn tăng cường tuyến phòng thủ hơn. Mình cũng sẽ viết thêm về cách mình quản trị OpSec để xin ý kiến của các chuyên gia khác và cho những ai quan tâm có thể áp dụng.