为了尽早掌握与更深入了解网络渗透的初期活动,安全公司通过设置沙箱或是蜜罐陷阱(Honeypot)进行观察的做法,越来越常见,其中最近一起黑客声称成功入侵安全公司的事故引起外界关注,而该公司表示,实际上黑客访问的网络环境,是他们的蜜罐陷阱,黑客窃得的都是他们通过AI捏造的假数据。
根据安全新闻网站Bleeping Computer、HackRead,以及SecurityAffairs的报道,与黑客联盟Scattered Lapsus$ Hunters有关的团体ShinyHunters于1月3日宣称,他们成功入侵美国安全公司Resecurity,并窃得内部数据,包含所有的内部对话记录与事件记录、完整员工数据、威胁情报报告,以及完整的客户名单等详细资讯。对此,Resecurity提出说明,黑客实际上访问的是蜜罐陷阱,他们正监控黑客的相关活动,该公司并未发生数据外流的情形。
ShinyHunters起初在Telegram频道声称,他们取得Resecurity系统的完整访问权,并窃得一系列的内部数据,黑客上传屏幕截屏作为成功入侵的证明,内容包含疑似开源协作平台Mattermost的人员线上交谈画面,Resecurity员工与文本共享平台Pastebin用户进行交谈,讨论有恶意内容出现在Pastebin的问题。
不过,在此事受到媒体报道后,ShinyHunters却向Bleeping Computer声称,他们并未参与相关攻击活动。究竟攻击者是Scattered Lapsus$ Hunters所属成员,还是另有其人,ShinyHunters并未进一步说明。
针对这起事故,Resecurity指出与他们在12月24日发布的博客文章有关,该公司于11月21日首度侦测到黑客的侦察活动,当时攻击来自埃及的IP地址,黑客使用Mullvad VPN进行连接,于是Resecurity创建诱饵账号,并让黑客以为成功登录其中一个应用程序。针对这个蜜罐陷阱,该公司采用两个数据集,一个存放超过2.8万笔假的消费记录,另一个具有超过19万笔支付与交易消息的内容,这些数据都是以专门的合成工具产生而成。
Resecurity指出这些黑客从12月12日至24日活动频频,共发出18.8万次请求,目的是外流存放在蜜罐环境的假数据,相关活动利用自动化工具抓取。对此,该公司表示他们已记录黑客的活动,并向执法机关与网际网络服务供应商分享相关资讯。
为了让黑客从事更多活动,以便在过程里掌握攻击者进一步的身份,Resecurity产生更多合成数据供对方抓取。结果他们掌握了对方的Gmail与Yahoo账号,以及美国移动电话号码。该公司提及,与他们合作的某个执法机关,已对黑客发出传票。黑客在发现上当后,于1月4日将Telegram频道上发布的内容移除。
为何ShinyHunters想要对Resecurity下手?很有可能是该公司先后关注并披露Scattered Lapsus$ Hunters联盟成立与分工,以及ShinyHunters成立数据外流网站的消息,使得黑客想要进行报复。这些黑客于去年犯案连连,其中他们曾经锁定Salesforce客户,后续又针对Salesloft Drift与Gainsight用户下手。最近一起事故是他们入侵数据分析服务厂商Mixpanel,导致OpenAI与PornHub出现数据外流的情况。
安全公司设下陷阱,试图通过欺骗黑客的手法进行反情搜的做法,近期也有成功案例。去年12月威胁情报公司BCA LTD及NorthScan联手,调查朝鲜黑客团体Famous Chollima以IT工作者身份诱骗开发人员,并冒用他们的身份在北美与欧洲谋取远程工作,当时两家安全公司与云计算沙箱公司Any.Run合作,通过沙箱环境观察黑客的行为。
