Nhà điều hành mạng di động Orange Tây Ban Nha đã bị mất internet trong vài giờ vào ngày 3 tháng 1 sau khi một tác nhân đe dọa sử dụng thông tin đăng nhập quản trị viên bị bắt bởi phần mềm độc hại đánh cắp để chiếm quyền điều khiển lưu lượng giao thức cổng biên giới (BGP).
"Tài khoản Orange trong trung tâm điều phối mạng IP (RIPE) đã bị truy cập không đúng cách đã ảnh hưởng đến việc duyệt web của một số khách hàng của chúng tôi", công ty cho biết trong một tin nhắn được đăng trên X (trước đây là Twitter).
Tuy nhiên, công ty nhấn mạnh không có dữ liệu cá nhân nào bị xâm phạm và vụ việc chỉ ảnh hưởng đến một số dịch vụ duyệt web.
Tác nhân đe dọa, người có tên Ms_Snow_OwO trên X, tuyên bố đã có quyền truy cập vào tài khoản RIPE của Orange Spain. RIPE là một cơ quan đăng ký Internet khu vực (RIR) giám sát việc phân bổ và đăng ký địa chỉ IP và số hệ thống tự trị (AS) ở Châu Âu, Trung Á, Nga và Tây Á.
"Sử dụng tài khoản bị đánh cắp, tác nhân đe dọa đã sửa đổi số AS thuộc địa chỉ IP của Orange, dẫn đến sự gián đoạn lớn đối với Orange và mất 50% lưu lượng truy cập", công ty an ninh mạng Hudson Rock cho biết.
Phân tích sâu hơn đã tiết lộ rằng địa chỉ email của tài khoản quản trị viên được liên kết với máy tính của một nhân viên Orange Spain đã bị phần mềm độc hại Raccoon Stealer xâm nhập vào ngày 4 tháng 9 năm 2023.
Hiện tại vẫn chưa biết làm thế nào kẻ đánh cắp tìm đường đến hệ thống của nhân viên, nhưng các họ phần mềm độc hại như vậy thường được lan truyền thông qua các trò gian lận độc hại hoặc lừa đảo.
"Trong số các thông tin đăng nhập của công ty được xác định trên máy, nhân viên có thông tin cụ thể để 'https://access.ripe.net' bằng cách sử dụng địa chỉ email được tiết lộ bởi tác nhân đe dọa (adminripe-ipnt@orange.es)", công ty cho biết thêm.
Tệ hơn nữa, mật khẩu được sử dụng để bảo mật tài khoản quản trị viên RIPE của Orange là "ripeadmin", vừa yếu vừa dễ dự đoán.
Nhà nghiên cứu bảo mật Kevin Beaumont lưu ý thêm rằng RIPE không bắt buộc xác thực hai yếu tố (2FA) cũng như không thực thi chính sách mật khẩu mạnh cho các tài khoản của mình, khiến nó chín muồi để lạm dụng.
"Hiện tại, các thị trường infostealer đang bán hàng ngàn thông tin đăng nhập cho access.ripe.net - cho phép bạn lặp lại điều này một cách hiệu quả tại các tổ chức và ISP trên khắp châu Âu", Beaumont nói.
RIPE, hiện đang điều tra để xem liệu có bất kỳ tài khoản nào khác bị ảnh hưởng theo cách tương tự hay không, cho biết họ sẽ trực tiếp liên hệ với các chủ tài khoản bị ảnh hưởng. Nó cũng đã kêu gọi người dùng tài khoản RIPE NCC Access cập nhật mật khẩu của họ và cho phép xác thực đa yếu tố cho tài khoản của họ.
"Về lâu dài, chúng tôi đang xúc tiến việc triển khai 2FA để bắt buộc tất cả các tài khoản Truy cập NCC RIPE càng sớm càng tốt và giới thiệu nhiều cơ chế xác minh khác nhau", họ nói thêm.
Vụ việc phục vụ để làm nổi bật hậu quả của việc lây nhiễm infostealer, đòi hỏi các tổ chức phải thực hiện các bước để bảo vệ mạng của họ khỏi các vectơ tấn công ban đầu đã biết.