14 tháng 7 năm 2024 1:57 CH

Một nhà nghiên cứu bảo mật hỗ trợ thỏa thuận này cho biết ông tin rằng bản sao duy nhất của toàn bộ tập dữ liệu về hồ sơ cuộc gọi và tin nhắn văn bản của "gần như tất cả" khách hàng AT&T đã bị xóa, nhưng một số rủi ro có thể vẫn còn.

Ảnh của Pau Barrena/Getty Images

Gã khổng lồ viễn thông Hoa Kỳ AT&T, công ty tiết lộ hôm thứ Sáu rằng tin tặc đã đánh cắp hồ sơ cuộc gọi của hàng chục triệu khách hàng, đã trả cho một thành viên trong nhóm tin tặc hơn 300.000 đô la để xóa dữ liệu và cung cấp video chứng minh việc xóa dữ liệu.

Tin tặc, một phần của nhóm tin tặc khét tiếng ShinyHunters đã đánh cắp dữ liệu từ một số nạn nhânthông qua các tài khoản lưu trữ đám mây Snowflake không an toàn, nói với WIRED rằng AT&T đã trả tiền chuộc vào tháng 5. Anh ta đã cung cấp địa chỉ ví tiền điện tử đã gửi tiền cho anh ta, cũng như địa chỉ nhận tiền. WIRED đã xác nhận, thông qua một công cụ theo dõi blockchain trực tuyến, rằng một giao dịch thanh toán đã diễn ra vào ngày 17 tháng 5 với số tiền là 5,7 bitcoin. Chris Janczewski, người đứng đầu bộ phận điều tra toàn cầu của công ty theo dõi tiền điện tử TRM Labs, cũng đã xác nhận bằng cách sử dụng công cụ theo dõi riêng của công ty rằng một giao dịch đã diễn ra với số tiền khoảng 5,72 bitcon (tương đương 373.646 đô la tại thời điểm giao dịch) và số tiền sau đó đã được rửa thông qua một số sàn giao dịch tiền điện tử và ví, nhưng cho biết không có dấu hiệu nào cho thấy ai đã kiểm soát các ví.

Một nhà nghiên cứu bảo mật yêu cầu chỉ được xác định bằng tên trực tuyến của mình, Reddington, cũng xác nhận rằng đã có một khoản thanh toán. Tin tặc đã tuyển dụng anh ta làm người trung gian cho cuộc đàm phán của họ với AT&T, và Reddington đã nhận được một khoản phí từ AT&T để phục vụ với tư cách đó. Reddington đã cung cấp cho WIRED bằng chứng về khoản phí đã thanh toán. Tin tặc ban đầu yêu cầu AT&T trả 1 triệu đô la nhưng cuối cùng đã đồng ý trả một phần ba số tiền đó.

WIRED đã xem video mà tin tặc nói rằng anh ta cung cấp cho AT&T như bằng chứng cho công ty viễn thông rằng anh ta đã xóa dữ liệu bị đánh cắp khỏi máy tính của mình. AT&T đã không trả lời yêu cầu bình luận của WIRED.

AT&T đã biết về vụ đánh cắp dữ liệu gián tiếp thông qua Reddington cách đây ba tháng.

Reddington nói với WIRED rằng vào giữa tháng 4, một hacker người Mỹ sống tại Thổ Nhĩ Kỳ và được cho là John Erin Binns—không phải hacker đã nhận được khoản thanh toán—đã liên lạc với anh ta để nói rằng anh ta đã lấy được nhật ký cuộc gọi AT&T của Reddington. Sau khi Reddington xác minh rằng nhật ký cuộc gọi là có thật, Binns được cho là đã nói với Reddington rằng anh ta cũng đã lấy được nhật ký cuộc gọi và tin nhắn của hàng triệu khách hàng AT&T khác thông qua một tài khoản lưu trữ đám mây được bảo mật kém do Snowflake lưu trữ. Reddington đã thông báo cho công ty bảo mật Mandiant về vụ vi phạm và sau đó Mandiant đã thông báo cho AT&T. Trong hồ sơ theo quy địnhmà công ty đã nộp lên Ủy ban Chứng khoán và Giao dịch vào thứ Sáu, AT&T cho biết lần đầu tiên họ biết về vụ vi phạm là vào tháng 4.

Reddington cho biết ông tin rằng toàn bộ dữ liệu của AT&T mà Binns bị cáo buộc đánh cắp đã bị xóa vì tin tặc và Binns đã lưu trữ dữ liệu trên máy chủ đám mây mà cả hai đều có thể truy cập và ông cho biết tin tặc đã xóa dữ liệu khỏi máy chủ đó.

AT&T là một trong hơn 150 công ty được cho là đã bị đánh cắp dữ liệu từ các tài khoản Snowflake được bảo mật kém trong một đợt tấn công mạng diễn ra trong suốt tháng 4 và tháng 5. Trước đó đã có báo cáo rằng các tài khoản không được bảo mật bằng xác thực đa yếu tố, vì vậy sau khi tin tặc lấy được tên người dùng và mật khẩu cho các tài khoản, và trong một số trường hợp là mã thông báo ủy quyền, chúng đã có thể truy cập vào các tài khoản lưu trữ của các công ty và đánh cắp dữ liệu của họ. Ticketmaster, công ty ngân hàng Santander, LendingTree và Advance Auto Parts đều nằm trong số các nạn nhân được xác định công khai cho đến nay.

Reddington đã tạo điều kiện cho một số cuộc đàm phán giữa tin tặc và nạn nhân của vụ xâm phạm tài khoản Snowflake. Ông cho biết Binns đã yêu cầu ông liên hệ với AT&T "để tạo điều kiện mua lại dữ liệu" và "do tầm quan trọng của dữ liệu" và khả năng gây hại, "tôi cảm thấy có nghĩa vụ phải đảm bảo rằng anh ta không bán dữ liệu cho bất kỳ ai khác".

Ông lưu ý rằng trình tự các sự kiện cho thấy tài khoản Snowflake của Ticketmaster có khả năng là tài khoản đầu tiên bị xâm phạm trong chiến dịch, sau đó tin tặc nhắm mục tiêu vào AT&T và các công ty khác.

"Phân tích các mẫu dữ liệu [tin tặc] cung cấp từ các nạn nhân khác cho thấy vụ tấn công Ticketmaster xảy ra trước tiên", ông nói với WIRED. "Từ đó, có vẻ như những kẻ tấn công đã tìm ra cách chúng có thể nhắm mục tiêu vào các tên miền ' snowflakecomputing.com' bằng cách tìm kiếm thông tin đăng nhập bị đánh cắp. Chúng không mất nhiều thời gian để lập danh sách và viết một tập lệnh để tấn công tất cả các nạn nhân Snowflake cùng một lúc".

Dữ liệu AT&T bị đánh cắp bao gồm siêu dữ liệu cuộc gọi và tin nhắn văn bản, nhưng không phải nội dung cuộc gọi hoặc tin nhắn hoặc tên của chủ sở hữu điện thoại, theo hồ sơ nộp lên SEC của AT&T. Reddington cáo buộc rằng Binns đã chứng minh anh ta có thể dễ dàng xác định chủ sở hữu của các số điện thoại bằng cách sử dụng chương trình tra cứu ngược xác định theo tên các thành viên gia đình, đồng nghiệp và những người khác được gắn vào số điện thoại đã liên lạc với họ.

Dữ liệu bị đánh cắp bao gồm số điện thoại của "gần như tất cả" khách hàng di động của AT&T và số điện thoại của khách hàng của các nhà mạng không dây khác đã trao đổi cuộc gọi hoặc tin nhắn với những khách hàng AT&T đó trong khoảng thời gian từ ngày 1 tháng 5 năm 2022 đến ngày 31 tháng 10 năm 2022, cũng như vào ngày 2 tháng 1 năm 2023, theo công ty. Nó cũng bao gồm các số điện thoại cố định đã liên lạc với những khách hàng AT&T bị ảnh hưởng trong khoảng thời gian này. Dữ liệu bao gồm ngày liên lạc và thời lượng cuộc gọi. "Đối với một tập hợp con các bản ghi, một hoặc nhiều số ID của trạm phát sóng di động liên quan đến các tương tác cũng được bao gồm", công ty cho biết trong một bài đăng trên blog. ID của trạm phát sóng di động tiết lộ những tháp di động nào mà điện thoại ping và có khả năng được sử dụng để xác định vị trí và chuyển động chung của người dùng điện thoại.

Tin tức về vụ vi phạm chỉ được công khai vào thứ Sáu khi AT&T tiết lộ trong bài đăng trên blog và hồ sơ nộp lên SEC. Mặc dù các công ty đại chúng được yêu cầu báo cáo các vụ vi phạm cho SEC sau khi biết về chúng, AT&T đã viết rằng Bộ Tư pháp đã cấp cho công ty các miễn trừ vào tháng 5 và tháng 6 để trì hoãn thông báo do nguy cơ gây hại cho an ninh quốc gia hoặc an toàn công cộng nếu vụ vi phạm bị tiết lộ. FBI nói với CNN rằng AT&T đã liên hệ với cơ quan nàyngay sau khi biết về vụ tấn công, nhưng cơ quan này muốn xem xét dữ liệu để xác định những gì đã bị lấy cắp và đánh giá bất kỳ nguy cơ gây hại tiềm ẩn nào trước khi AT&T công khai và tiết lộ cho SEC.

Tin tặc nhận được khoản thanh toán từ AT&T cáo buộc Binns chịu trách nhiệm về vụ vi phạm và đã chia sẻ các mẫu dữ liệu với anh ta và những người khác sau khi tải xuống. Anh ta nói rằng anh ta tin rằng Binns bị cáo buộc đã đánh cắp "vài tỷ" hồ sơ từ AT&T, mặc dù WIRED không thể xác nhận điều này. Reddington hiểu rằng dữ liệu đã bị xóa là tập dữ liệu hoàn chỉnh duy nhất mà tin tặc lấy được. Reddington nói rằng anh ta không tin rằng tin tặc đã đăng dữ liệu công khai, mặc dù anh ta không chắc có bao nhiêu người nhận được các đoạn trích dữ liệu mà Binns bị cáo buộc đã cung cấp hoặc họ đã làm gì với dữ liệu đó.

Bất chấp việc thanh toán và xóa dữ liệu, một số khách hàng của AT&T và những người liên lạc với họ vẫn có thể gặp rủi ro, vì những người khác có thể có mẫu dữ liệu chưa bị xóa.

Tin tặc nói chuyện với WIRED đã nhận được khoản thanh toán từ AT&T thay vì Binns vì, theo anh ta, trong một diễn biến kỳ lạ của vụ án, Binns đã bị bắt tại Thổ Nhĩ Kỳ vào tháng 5 vì một vụ vi phạm không liên quan có từ năm 2021. Vụ việc đó liên quan đến vụ đánh cắp dữ liệu lớn từ T-Mobile. AT&T cho biết trong hồ sơ nộp lên SEC rằng họ tin rằng "ít nhất một người" có liên quan đến vụ vi phạm đã bị bắt giữ, nhưng không nêu tên người này. 404 Media là đơn vị đầu tiên đưa tinvào thứ Sáu rằng Binns được cho là người đó.

Binns bị truy tố vào năm 2022 về 12 tội danh liên quan đến vụ hack T-Mobile năm 2021 "và hành vi trộm cắp và bán các tệp và thông tin nhạy cảm" liên quan đến dữ liệu của hơn 40 triệu người. Tuy nhiên, Binns đã chuyển từ Hoa Kỳ đến Thổ Nhĩ Kỳ vào năm 2018 cùng với người mẹ người Thổ Nhĩ Kỳ của mình, theo một cuộc phỏng vấn mà anh ấy đã trả lời cách đây ba nămvới The Wall Street Journal. Bản cáo trạng vẫn được niêm phongcho đến năm nay. Tháng 9 năm ngoái, Hoa Kỳ biết rằng anh ta có thể bị bắt ở Thổ Nhĩ Kỳ và bị dẫn độ về Hoa Kỳ vì anh ta không có quốc tịch Thổ Nhĩ Kỳ. Các công tố viên ở Seattle, gần nơi T-Mobile đặt trụ sở, đã yêu cầu một tòa án Hoa Kỳ vào tháng 12 công khai một số phần của bản cáo trạng để họ có thể trao bản cáo trạng và lệnh bắt giữ cho các nhà chức trách Thổ Nhĩ Kỳ, những người đang đưa ra quyết định cuối cùng về việc liệu Binns có thể bị dẫn độ hợp pháp theo luật pháp Thổ Nhĩ Kỳ hay không. Tòa án đã chấp thuận yêu cầu công khai vào tháng 1.

Tin tặc nhận được khoản thanh toán từ AT&T nói với WIRED rằng anh ta tin rằng Binns đã bị bắt ở Thổ Nhĩ Kỳ vào khoảng ngày 5 tháng 5, vì Binns chưa phản hồi bất kỳ nỗ lực nào của anh ta và những người khác nhằm liên lạc với anh ta. WIRED đã liên lạc với luật sư bào chữa công tại Seattle đại diện cho Binns trong vụ án T-Mobile nhưng không nhận được phản hồi.

Binns đã tiếp xúc với chính quyền Hoa Kỳ nhiều lần và cáo buộc CIA và các cơ quan khác có âm mưu điên rồ nhằm gây hại và gài bẫy ông. Là một phần của vụ kiện FOIA năm 2020 chống lại FBI, CIA và Bộ Tư lệnh Hoạt động Đặc biệt Hoa Kỳ để lấy hồ sơ mà ông tuyên bố họ nắm giữ về ông, Binns tuyên bố rằng các nhà thầu của CIA đã theo dõi ông, thử nghiệm trên ông, quấy rối ông và một trong số họ đã chĩa "vũ khí điện tử" vào đầu ông và sử dụng lò vi sóng để sốc ông, cùng với các cáo buộc khác. Sau đó, ông đã đệ đơn xin bác bỏ vụ kiện FOIA của mình, tuyên bố rằng ông đã nộp một số tài liệu trong khi "trải qua một cơn tâm lý do say rượu".

Tháng 10 năm ngoái, trong vụ án T-Mobile, Binns đã viết thư cho Tòa án Quận Hoa Kỳ tại Seattle và nói rằng ông tin rằng hành động của mình bị ảnh hưởng bởi một con chip đã được cấy vào não ông khi ông còn là một đứa trẻ sơ sinh. Trong một lá thư được chứng nhận gửi đến tòa án và được WIRED xem, Binns nói với thẩm phán rằng ông tin rằng "một thiết bị hoặc cấy ghép kích thích não không dây (hạch nền)" ngay sau khi ông được sinh ra là nguyên nhân gây ra "hành vi thất thường bao gồm các xung lực không thể cưỡng lại, các vấn đề thần kinh nhân tạo và khả năng phạm tội".

Dòng thời gian cho thấy nếu Binns chịu trách nhiệm về vụ tấn công AT&T, anh ta bị cáo buộc đã thực hiện hành động này khi có khả năng anh ta đã biết mình đang bị truy tố vì vụ tấn công T-Mobile và có thể bị bắt vì hành vi này.

🆃🆄🅽🅶🆃🅴🅺 0963509115

-- 15.07.24

Social Post

AT&T trả cho hacker 370.000 USD để xóa hồ sơ điện thoại bị đánh cắp | #TEKNews by TUNGTEK

Tùng tóm lại xí

1./ AT&T trả cho hacker tầm 9 tỷ để xem 1 video chứng minh là hacker đã cam kết xóa dữ liệu đánh cắp được của họ.

2./ Trước đó, hồi tháng 5 thì thông qua công cụ theo dõi thanh toán blockchain thì có thể AT&T đã trả 5.7 bitcoin ( tầm 373.000 USD vào lúc đó )

3./ Hacker đòi 1 triệu USD và mức thanh toán cuối cùng là 1/3 thông qua trung gian.

4./ Thông qua việc mua thông tin đăng nhập trên thị trường chợ đen tài khoản của Cty cung cấp lưu trữ Cloud là Snowflake thì họ hack được AT&T.

5./ Không chắc là hacker đã xóa chưa hay tiếp tục tống tiền trong tương lai nên vẫn có rủi ro cho người dùng.

.

🆃🆄🅽🅶🆃🅴🅺 0963509115

-- 15.07.24

.

#tungtek #teknews #ransomware #noransomwarevn #leak