Hơn 200 doanh nghiệp đã trở thành nạn nhân của một cuộc tấn công chuỗi cung ứng tinh vi, đánh cắp dữ liệu lưu trữ trên Salesforce. Google xác nhận vụ việc, cảnh báo về lỗ hổng an ninh mạng nghiêm trọng.
Bài viết này đi sâu vào vụ tấn công chuỗi cung ứng quy mô lớn nhắm vào Salesforce, khiến hơn 200 công ty bị đánh cắp dữ liệu. Chúng ta sẽ khám phá cách thức tấn công, vai trò của nhóm tin tặc Scattered Lapsus$ Hunters, và những biện pháp cần thiết để bảo vệ dữ liệu doanh nghiệp trong bối cảnh an ninh mạng ngày càng phức tạp.
Sự thật về vụ tấn công Salesforce và Gainsight
Google chính thức lên tiếng về vụ việc
Mới đây, Google đã chính thức công bố thông tin chi tiết về vụ tấn công mạng nghiêm trọng, trong đó dữ liệu của hơn 200 công ty bị đánh cắp từ nền tảng Salesforce. Điều đáng chú ý là vụ tấn công này không trực tiếp nhắm vào Salesforce, mà lợi dụng các ứng dụng do Gainsight, một nhà cung cấp giải pháp hỗ trợ khách hàng, phát hành. Thông tin này đã gây chấn động giới an ninh mạng và làm dấy lên lo ngại về mức độ an toàn của dữ liệu doanh nghiệp trên các nền tảng đám mây.
Salesforce đã biết về lỗ hổng từ trước?
Trước khi Google đưa ra thông báo, Salesforce đã thừa nhận về việc “dữ liệu Salesforce của một số khách hàng” bị vi phạm. Tuy nhiên, thông báo của Salesforce lại không nêu đích danh các công ty bị ảnh hưởng, khiến nhiều người đặt câu hỏi về tính minh bạch và trách nhiệm của công ty trong việc bảo vệ dữ liệu khách hàng. Tại sao Salesforce không công khai danh sách các công ty bị ảnh hưởng? Liệu có phải họ đang cố gắng che giấu mức độ nghiêm trọng của vụ việc?
Phản ứng từ cộng đồng an ninh mạng
Thông tin về vụ tấn công đã nhanh chóng lan truyền trong cộng đồng an ninh mạng, gây ra nhiều tranh luận và lo ngại. Các chuyên gia bảo mật đặt ra câu hỏi về quy trình kiểm soát an ninh của Salesforce và Gainsight, cũng như khả năng các công ty khác có thể trở thành mục tiêu tương tự trong tương lai. Vụ việc này một lần nữa nhấn mạnh tầm quan trọng của việc đầu tư vào các giải pháp an ninh mạng toàn diện và nâng cao nhận thức về an ninh thông tin cho nhân viên.
Bài học rút ra từ vụ việc
Vụ tấn công Salesforce và Gainsight là một lời cảnh tỉnh cho tất cả các doanh nghiệp đang sử dụng dịch vụ đám mây. Nó cho thấy rằng, dù nền tảng có an toàn đến đâu, vẫn luôn tồn tại những rủi ro tiềm ẩn từ các ứng dụng bên thứ ba và các cuộc tấn công chuỗi cung ứng. Doanh nghiệp cần chủ động đánh giá rủi ro, triển khai các biện pháp bảo mật phù hợp và thường xuyên kiểm tra, cập nhật hệ thống để đảm bảo an toàn cho dữ liệu của mình. Ngoài ra, việc xây dựng một kế hoạch ứng phó sự cố chi tiết cũng là vô cùng quan trọng, giúp doanh nghiệp nhanh chóng khắc phục hậu quả và giảm thiểu thiệt hại khi có sự cố xảy ra.
Nhận diện nhóm tin tặc Scattered Lapsus$ Hunters
Sự trỗi dậy của một liên minh tội phạm mạng
Năm 2025 chứng kiến sự xuất hiện của một liên minh tác nhân đe dọa mới mang tên Scattered Lapsus$ Hunters. Đây là một nhóm tập hợp các thành phần của ba tổ chức tội phạm mạng khét tiếng: Scattered Spider, LAPSUS$ và ShinyHunters. Sự kết hợp này tạo ra một sức mạnh tổng hợp đáng gờm, khiến Scattered Lapsus$ Hunters trở thành một trong những nhóm tin tặc nguy hiểm nhất hiện nay.
Danh sách “thành tích” đáng sợ
Scattered Lapsus$ Hunters đã nhanh chóng chứng minh khả năng của mình bằng hàng loạt các vụ tấn công nhắm vào nhiều tên tuổi lớn trong ngành công nghệ và dịch vụ, bao gồm Atlassian, CrowdStrike, Docusign, F5, GitLab, Linkedin, Malwarebytes, SonicWall, Thomson Reuters và Verizon. Các cuộc tấn công này gây ra thiệt hại không nhỏ về tài chính, uy tín và dữ liệu cho các nạn nhân, đồng thời gieo rắc nỗi sợ hãi trong cộng đồng doanh nghiệp.
Chiến thuật tấn công đa dạng và tinh vi
Scattered Lapsus$ Hunters không chỉ đơn thuần là một nhóm tin tặc, mà là một “siêu nhóm” tận dụng thế mạnh và chiến thuật của các thành viên. Từ Scattered Spider với chuyên môn về truy cập ban đầu và kỹ thuật hỗ trợ kỹ thuật, đến LAPSUS$ với khả năng tuyển dụng nội gián và đánh cắp mã nguồn, và ShinyHunters với kỹ năng thu thập và tống tiền dữ liệu quy mô lớn, tất cả hợp lại tạo nên một cỗ máy tấn công cực kỳ hiệu quả. Thay vì các cuộc tấn công đơn lẻ, nạn nhân phải đối mặt với một cuộc tấn công tích hợp, nhiều giai đoạn, kết hợp kỹ thuật xã hội, đánh cắp dữ liệu và tống tiền công khai.
Mục tiêu và động cơ của nhóm
Mục tiêu chính của Scattered Lapsus$ Hunters là nhắm vào các môi trường doanh nghiệp có giá trị cao, đặc biệt là các nền tảng SaaS như Salesforce, cũng như các thương hiệu lớn trong lĩnh vực bán lẻ, thời trang, hàng không và bảo hiểm. Động cơ của nhóm không chỉ dừng lại ở tiền bạc, mà còn bao gồm cả việc gây rối, phô trương thanh thế và thậm chí là phá hoại. Điều này khiến cho việc đối phó với Scattered Lapsus$ Hunters trở nên khó khăn hơn bao giờ hết.
Phân tích chi tiết cuộc tấn công vào Salesforce
Lộ trình tấn công qua Salesloft Drift và Gainsight
Cuộc tấn công vào Salesforce không diễn ra một cách trực tiếp, mà thông qua một chuỗi các sự kiện liên quan đến Salesloft Drift và Gainsight. Nhóm tin tặc đã tận dụng lỗ hổng bảo mật trong Salesloft Drift để đánh cắp các mã thông báo xác thực của khách hàng, sau đó sử dụng các mã thông báo này để truy cập vào các phiên bản Salesforce liên kết và tải xuống dữ liệu.
Kỹ thuật “mạo danh” tinh vi
Một trong những kỹ thuật quan trọng mà nhóm tin tặc sử dụng là mạo danh nhân viên hỗ trợ công nghệ thông tin. Chúng gọi điện thoại cho các nhân viên mục tiêu, cố gắng thuyết phục họ truy cập trang thiết lập ứng dụng được kết nối của Salesforce và nhập “mã kết nối”. Mã này thực chất là liên kết đến một phiên bản độc hại của ứng dụng Data Loader OAuth của Salesforce, cho phép tin tặc truy cập vào môi trường Salesforce của nạn nhân.
Vai trò của OAuth trong vụ tấn công
OAuth, một tiêu chuẩn cho phép người dùng ủy quyền cho một ứng dụng hoặc dịch vụ kết nối với một ứng dụng hoặc dịch vụ khác, đã vô tình trở thành công cụ cho tin tặc. Bằng cách lợi dụng OAuth, tin tặc có thể vượt qua các rào cản bảo mật thông thường và truy cập vào dữ liệu nhạy cảm mà không cần phải có mật khẩu trực tiếp. Điều này cho thấy rằng việc triển khai và quản lý OAuth cần được thực hiện một cách cẩn trọng để tránh trở thành miếng mồi ngon cho tin tặc.
Hậu quả và biện pháp khắc phục
Cuộc tấn công đã gây ra hậu quả nghiêm trọng cho hàng trăm công ty, khiến dữ liệu khách hàng, thông tin tài chính và bí mật kinh doanh bị đánh cắp. Để khắc phục hậu quả, Salesforce đã tạm thời thu hồi mã thông báo truy cập đang hoạt động cho các ứng dụng được kết nối với Gainsight và thông báo cho những khách hàng bị ảnh hưởng. Tuy nhiên, thiệt hại về uy tín và niềm tin của khách hàng là không thể đo đếm được. Vụ việc này cho thấy rằng, ngoài việc đầu tư vào các giải pháp an ninh mạng, doanh nghiệp cần phải có một kế hoạch ứng phó sự cố hiệu quả để giảm thiểu thiệt hại khi có sự cố xảy ra.
