Một người bạn hỏi: nếu bị hack mất hết dữ liệu thì có cách gì khắc phục không. Thực tế 99% là không, dữ liệu đã mất thì chịu.
Nhưng tôi từng chứng kiến một vụ hiếm hoi: đội tôi “hack ngược” và lấy lại được dữ liệu bị đánh cắp. Tôi không làm trực tiếp, chỉ ngồi xem, mà thấy y như trong phim.
Sự cố lần đó cũng giống nhiều vụ khác: hacker xâm nhập qua website, tải dữ liệu ra ngoài và mã hóa đòi tiền chuộc. Dữ liệu rất lớn, nên câu hỏi là hacker chuyển dữ liệu đi đâu. Phải có một kho trên cloud, chứ không thể lưu trên máy cá nhân.
Khi phân tích hiện trường, đội điều tra phát hiện một máy chủ bị xâm nhập đã vô tình được lưu lại bộ nhớ (bằng cách chụp snapshot). Phân tích bộ nhớ cho thấy hacker dùng một phần mềm upload. Phân tích tiếp vùng nhớ của phần mềm, chúng tôi tìm được mật khẩu kết nối đến kho trên cloud của hacker. Đăng nhập vào đó, toàn bộ dữ liệu hiện ra trước mắt, trong khi hacker mới chỉ kịp tải về một phần nhỏ. Nghĩa là nếu chúng tôi xóa hết dữ liệu, coi như hacker không còn gì để tống tiền. Đúng là hay không bằng hên!
Nhưng câu chuyện chưa dừng ở đó. Vấn đề tiếp theo: làm sao kiểm soát kho trên cloud, ngăn hacker quay lại? Nếu chỉ xóa, hacker vẫn có thể yêu cầu nhà cung cấp cloud khôi phục.
Tôi thích điều tra sự cố vì buộc mình phải suy nghĩ như hacker, tìm cách đi guốc trong bụng chúng để hiểu chuyện gì đã xảy ra. Không phải lúc nào cũng thành công nhưng luôn là một thử thách trí tuệ thú vị.
Trong tình huống này, đội còn phải dự đoán chuyện gì sẽ xảy ra, khi chúng tôi tác động đến tài khoản cloud của hacker. Lúc này kỹ năng red teaming trở nên quan trọng. Mục tiêu là tìm đường tấn công (“lateral movement”) để kiểm soát vĩnh viễn kho trên cloud mà không “bứt dây động rừng”.
Đội bắt đầu thí nghiệm, mô phỏng các tình huống có thể xảy ra và dự đoán phản ứng của hacker cùng các bên liên quan. Ở mỗi thí nghiệm, người chủ trì phải ghi rõ kế hoạch và chỉ thực hiện sau khi được các thành viên khác xét duyệt. Dù tình huống khẩn cấp, cần quyết định nhanh nhưng đội vẫn ưu tiên chính xác, tránh “cầm vàng mà để vàng rơi”.
Các thí nghiệm đội đã thực hiện:
Mở tài khoản cloud mới, đăng nhập từ nhiều nguồn khác nhau để xem hệ thống có gửi cảnh báo cho chủ tài khoản hay không. Đội muốn chắc chắn hacker không biết đội đã đăng nhập vào tài khoản cloud của chúng.
Upload dữ liệu rồi xóa để kiểm tra chính sách phục hồi. Theo chính sách nhà cung cấp, dữ liệu bị xóa sau X ngày sẽ mất vĩnh viễn, nên đội phải giữ quyền kiểm soát tài khoản hacker ít nhất X ngày.
Đội còn thử mọi cách hacker có thể khôi phục quyền truy cập: khôi phục qua email quản trị, khôi phục qua mã dự phòng, hay khôi phục qua thông tin thanh toán. May mắn là hacker dùng lại mật khẩu cho email nên đội chiếm được hộp thư. Hacker trả phí bằng crypto ẩn danh nên khó chứng minh với nhà cung cấp rằng họ là bên thanh toán.
Khi chắc chắn hacker không còn đường nào quay lại, đội nhanh chóng thực hiện bốn bước:
Đăng nhập kho trên cloud của hacker, đổi mật khẩu và email quản trị, thêm xác thực hai lớp.
Đăng nhập email của hacker, đổi mật khẩu, thêm email khôi phục và xác thực hai lớp.
Xóa toàn bộ dữ liệu trong kho trên cloud.
Theo dõi xem hacker có tìm cách quay lại không.
Sau đó hacker có tìm cách đăng nhập vào email và kho trên cloud, nhưng chỉ một lần rồi thôi. Có lẽ hacker cũng sợ bị bắt, nên cuối cùng hacker dường như bỏ cuộc, lặn mất.
Câu hỏi cuối: “Hack ngược” như vậy có phạm pháp không? Tôi cho rằng không và sẵn sàng đi hầu nếu hacker kiện. “Thưa quan tòa, bọn này cướp lại đồ ăn cướp của con, mong tòa lấy lại công bằng cho con”, tưởng tượng thôi đã thấy hài rồi. Tuy nhiên, tới giờ hacker vẫn im, chưa thấy đệ đơn lên Tòa án Nhân dân Bắc Kinh.
Cảm ơn favadi và GB đã đọc và hiệu chỉnh bản nháp.
Xem thêm:
Kể chuyện săn hacker giữa đại dịch
Năm ngoái (2021) tôi nhận lời mời đến Hà Nội điều tra một vụ tấn công mạng có lẽ thuộc hàng nghiêm trọng nhất lịch sử Việt Nam. Dự án thú vị, nhưng cũng đầy khó khăn, nhiều thử thách. Có những thời điểm tôi không chắc mình có làm được gì không.
"May mắn là hacker dùng lại mật khẩu cho email nên đội chiếm được hộp thư."
Vậy là hacker dùng chung mật khẩu cho Cloud và Email? Và hacker lại không bật xác thực 2 lớp?
Hack pro vkl nhưng lại chủ quan vcđ
Lĩnh vực CNTT này thì mình không rõ
nhưng về lĩnh vực luật dân sự và hình sự của VN thì mình khẳng định là nếu bạn "cướp của kẻ cướp" là bạn vẫn mang tội cướp đấy :)