資安公司Resecurity傳出遭駭，該公司表示駭客掉入了蜜罐陷阱

為了及早掌握與更深入瞭解網路滲透的初期活動，資安公司透過設置沙箱或是蜜罐陷阱（Honeypot）進行觀察的做法，越來越常見，其中最近一起駭客聲稱成功入侵資安公司的事故引起外界關注，而該公司表示，實際上駭客存取的網路環境，是他們的蜜罐陷阱，駭客竊得的都是他們透過AI捏造的假資料。

根據資安新聞網站Bleeping Computer、HackRead，以及SecurityAffairs的報導，與駭客聯盟Scattered Lapsus$ Hunters有關的團體ShinyHunters於1月3日宣稱，他們成功入侵美國資安公司Resecurity，並竊得內部資料，包含所有的內部對話記錄與事件記錄、完整員工資料、威脅情報報告，以及完整的客戶名單等詳細資訊。對此，Resecurity提出說明，駭客實際上存取的是蜜罐陷阱，他們正監控駭客的相關活動，該公司並未發生資料外洩的情形。

ShinyHunters起初在Telegram頻道聲稱，他們取得Resecurity系統的完整存取權，並竊得一系列的內部資料，駭客上傳螢幕截圖作為成功入侵的證明，內容包含疑似開源協作平臺Mattermost的人員線上交談畫面，Resecurity員工與文字共用平臺Pastebin用戶進行交談，討論有惡意內容出現在Pastebin的問題。

不過，在此事受到媒體報導後，ShinyHunters卻向Bleeping Computer聲稱，他們並未參與相關攻擊活動。究竟攻擊者是Scattered Lapsus$ Hunters所屬成員，還是另有其人，ShinyHunters並未進一步說明。

針對這起事故，Resecurity指出與他們在12月24日發布的部落格文章有關，該公司於11月21日首度偵測到駭客的偵察活動，當時攻擊來自埃及的IP位址，駭客使用Mullvad VPN進行連線，於是Resecurity建立誘餌帳號，並讓駭客以為成功登入其中一個應用程式。針對這個蜜罐陷阱，該公司採用兩個資料集，一個存放逾2.8萬筆假的消費記錄，另一個具有超過19萬筆支付與交易訊息的內容，這些資料都是以專門的合成工具產生而成。

Resecurity指出這些駭客從12月12日至24日活動頻頻，共發出18.8萬次請求，目的是外洩存放在蜜罐環境的假資料，相關活動利用自動化工具抓取。對此，該公司表示他們已記錄駭客的活動，並向執法機關與網際網路服務供應商分享相關資訊。

為了讓駭客從事更多活動，以便在過程裡掌握攻擊者進一步的身分，Resecurity產生更多合成資料供對方抓取。結果他們掌握了對方的Gmail與Yahoo帳號，以及美國行動電話號碼。該公司提及，與他們合作的某個執法機關，已對駭客發出傳票。駭客在察覺上當後，於1月4日將Telegram頻道上發布的內容移除。

為何ShinyHunters想要對Resecurity下手？很有可能是該公司先後追蹤並揭露Scattered Lapsus$ Hunters聯盟成立與分工，以及ShinyHunters成立資料外洩網站的消息，使得駭客想要進行報復。這些駭客於去年犯案連連，其中他們曾經鎖定Salesforce客戶，後續又針對Salesloft Drift與Gainsight用戶下手。最近一起事故是他們入侵資料分析服務廠商Mixpanel，導致OpenAI與PornHub出現資料外流的情況。

資安公司設下陷阱，試圖透過欺騙駭客的手法進行反情蒐的作法，近期也有成功案例。去年12月威脅情報公司BCA LTD及NorthScan聯手，調查北韓駭客團體Famous Chollima以IT工作者身分誘騙開發人員，並冒用他們的身分在北美與歐洲謀取遠距工作，當時兩家資安公司與雲端沙箱公司Any.Run合作，透過沙箱環境觀察駭客的行為。