Công ty an ninh mạng Resecurity gần đây đã ghi nhận một cuộc tấn công có chủ đích nhằm vào hệ thống nội bộ, trong đó kẻ tấn công tập trung khai thác các dịch vụ và nhắm tới tài khoản nhân viên nội bộ. Trước tình huống này, Resecurity không lựa chọn phương án chặn ngay từ đầu mà triển khai một môi trường honeypot sử dụng dữ liệu giả tổng hợp để theo dõi toàn bộ hoạt động của đối tượng.
Môi trường bẫy được xây dựng với hàng chục nghìn hồ sơ giả và gần 200.000 giao dịch thanh toán mô phỏng, được thiết kế sát thực tế nhưng không chứa dữ liệu giá trị. Tin tặc đã truy cập và tiến hành thu thập thông tin trong môi trường này, liên tục gửi các yêu cầu tự động thông qua hệ thống proxy nhằm đánh cắp dữ liệu.
Sau khi thông tin về chiến dịch tấn công được công bố, nhóm tội phạm mạng ShinyHunters tuyên bố đã xâm nhập thành công hệ thống của Resecurity. Tuy nhiên, theo kết quả xác minh, những bằng chứng mà nhóm này đưa ra lại cho thấy họ chỉ truy cập vào chính môi trường honeypot do Resecurity dựng sẵn, qua đó vô tình xác nhận việc rơi vào bẫy dữ liệu giả.
Quá trình khai thác kéo dài nhiều ngày với cường độ cao đã khiến đối tượng để lộ nhiều dấu vết kỹ thuật quan trọng, bao gồm địa chỉ IP thật và hạ tầng phía sau cuộc tấn công. Resecurity cho biết họ đã ghi nhận đầy đủ phương thức, công cụ và cách thức vận hành của nhóm tấn công, đồng thời chia sẻ dữ liệu liên quan với các nhà cung cấp dịch vụ Internet và cơ quan chức năng để phục vụ công tác điều tra.
