5 mối đe dọa gây chấn động an ninh mạng năm 2025

3 giờ trướcBài gốc

2025 tiếp tục là năm bận rộn của lĩnh vực an ninh mạng, với những cuộc tấn công lớn, biến động trong bộ máy chính phủ Mỹ và những lỗ hổng nguy hiểm gợi lại ký ức không mấy tốt đẹp trong quá khứ.

Đầu năm 2025, Salt Typhoon (APT có liên hệ với Trung Quốc) tiếp tục tấn công các công ty viễn thông trong các chiến dịch gián điệp của nhóm này. Vào mùa hè và sang mùa thu, Cơ quan An ninh mạng và Hạ tầng Mỹ (CISA) phải đối mặt với cắt giảm ngân sách và sa thải nhân sự, hệ quả từ cam kết của Tổng thống Donald Trump về việc thu gọn bộ máy chính phủ Mỹ. Tháng 12, lỗ hổng thực thi mã từ xa React2Shell có mức độ nghiêm trọng cao nhất được khai thác rộng rãi, gợi nhớ tới vụ Log4Shell tai tiếng trước đây.

APT (Advanced Persistent Threat) là thuật ngữ chỉ nhóm hacker có trình độ cao, hoạt động có tổ chức và xâm nhập mục tiêu trong thời gian dài nhằm phục vụ các mục đích chiến lược, chứ không phải tấn công chớp nhoáng để kiếm lợi ngắn hạn.

Thế nhưng, bức tranh an ninh mạng năm 2025 không hoàn toàn u ám. Một số tín hiệu tích cực đã xuất hiện, chẳng hạn số nạn nhân chấp nhận trả tiền chuộc ransomware (mã độc tống tiền) đang giảm dần. Bên cạnh đó, lực lượng thực thi pháp luật ở nhiều quốc gia ngày càng phối hợp chặt chẽ hơn để truy quét và triệt phá các đường dây tội phạm mạng.

Năm 2025 xuất hiện hàng loạt mối đe dọa gây chấn động lĩnh vực an ninh mạng - Ảnh: Internet

Dưới đây là 5 mối đe dọa gây chấn động lĩnh vực an ninh mạng năm 2025, theo trang DR.

1. Salt Typhoon tiếp tục làn sóng tấn công dồn dập

Salt Typhoon gây chú ý khi tấn công nhiều tập đoàn viễn thông lớn như Verizon, AT&T hay Lumen Technologies. Các vụ việc bị phát hiện vào mùa thu năm ngoái, sau khi Salt Typhoon xâm nhập những hệ thống mà cơ quan thực thi pháp luật dùng để nghe lén theo lệnh của tòa án. Nhóm này còn được gọi là Operator Panda, sử dụng các kỹ thuật tấn công tinh vi để thu thập thông tin tình báo và âm thầm cài cắm trong hệ thống mục tiêu, nhằm duy trì quyền truy cập và phục vụ cho các cuộc tấn công trong tương lai.

Hoạt động của Salt Typhoon vẫn tiếp diễn trên quy mô lớn. Tháng 7, Salt Typhoon bị phát hiện đã tấn công mạng Vệ binh Quốc gia Mỹ suốt gần một năm. Nhiều tập đoàn viễn thông, trong đó có Viasat, cũng xác nhận bị xâm phạm và quy trách nhiệm cho Salt Typhoon. Song đó mới chỉ là phần nổi của tảng băng.

Adam Meyers, người đứng đầu bộ phận phản gián tại hãng an ninh mạng CrowdStrike (Mỹ), cho biết Salt Typhoon là một trong nhiều ví dụ cho thấy các nhóm hacker có liên hệ với Trung Quốc đang “tiến hóa thành những tác nhân phối hợp chặt chẽ hơn, mở rộng hoạt động trên nhiều mặt trận khác nhau và bám trụ lâu dài trong hệ thống mục tiêu”.

“Salt Typhoon cũng như nhiều hacker khác có nguồn gốc Trung Quốc, dựa nhiều vào các lỗ hổng trong thiết bị kết nối internet như router (bộ định tuyến), thiết bị bảo mật, VPN (mạng riêng ảo) và các hệ thống tầng mạng khác. Những thiết bị này không chạy các công cụ bảo mật hiện đại như EDR và thường chậm vá lỗi. Vì vậy, các tổ chức cần có khả năng giám sát an ninh thống nhất trên toàn hệ thống và chủ động tìm kiếm dấu hiệu tấn công. Nếu không, họ rất dễ bị các đối thủ hoạt động với tốc độ nhanh và mức độ bám trụ dai dẳng vượt mặt”, ông nói với trang DR.

2. CISA hứng chịu làn sóng sa thải và cắt giảm ngân sách

Các đợt sa thải tại CISA, theo cách gián tiếp, lại đại diện cho một mối đe dọa khác.

Ngay từ đầu năm 2025, chính quyền Trump đã cắt toàn bộ thành viên của Hội đồng Đánh giá An ninh mạng - nhóm chuyên gia khu vực công và tư nhân nghiên cứu và đưa ra đánh giá về các vấn đề an ninh lớn. Khi bị giải thể, CSRB đang làm báo cáo về Salt Typhoon.

Đây là một trong những đợt cắt giảm sớm trong nhiệm kỳ Tổng thống Mỹ thứ hai của ông Trump, nhưng không phải là lần cuối. CISA tiếp tục đối mặt với các đợt sa thải và cắt ngân sách trong suốt cả năm, một phần do các cam kết kiểu DOGE (Ban Hiệu quả Chính phủ) về một chính phủ tinh gọn hơn. Một yếu tố khác là việc ông Trump và Bộ trưởng An ninh Nội địa Kristi Noem tuyên bố CISA sẽ chỉ tập trung vào nhiệm vụ an ninh mạng, thay vì tham gia việc đánh giá hay kiểm soát thông tin công chúng.

Để hiểu rõ hơn, ông Trump đã sa thải cựu giám đốc CISA Chris Krebs năm 2020 sau khi Krebs gọi cuộc bầu cử Tổng thống năm 2020 là "cuộc bầu cử an toàn nhất trong lịch sử nước Mỹ", giữa những tuyên bố từ Trump về gian lận bầu cử.

CISA cung cấp nhiều dịch vụ quan trọng cho các tổ chức, từ hướng dẫn về lỗ hổng bảo mật, đánh giá an ninh vật lý và an ninh mạng, bảo vệ bầu cử, hỗ trợ ứng phó sự cố và nhiều hơn nữa.

John Bambenek, Chủ tịch hãng tư vấn an ninh mạng tư nhân Bambenek Consulting, cho biết tác động tức thời từ việc cắt giảm ở CISA được cảm nhận rõ nhất ở cấp bang, địa phương và các tổ chức không đủ khả năng chi trả cho dịch vụ tình báo mối đe dọa thương mại.

“Có quan điểm cho rằng các bang và chính quyền địa phương nên tự gánh vác trách nhiệm an ninh mạng của mình. Tuy nhiên, việc giao trách nhiệm này quá đột ngột khiến họ không kịp xây dựng năng lực cần thiết. Thẳng thắn mà nói, các hacker đang nhắm vào những tổ chức này và thật không công bằng khi buộc một thị trấn khoảng 10.000 dân, có thể nằm gần căn cứ quân sự, phải tự mình đối phó với các hoạt động gián điệp mạng”, John Bambenek bình luận.

3. React2Shell gợi lại ký ức về Log4Shell

React2Shell là tên gọi lỗ hổng CVE-2025-55182, được công bố vào đầu tháng 12, ảnh hưởng đến thư viện JavaScript mã nguồn mở React, cho phép kẻ tấn công không cần đăng nhập mà vẫn có thể chạy mã tùy ý trên các ứng dụng React và Next.js chỉ bằng một yêu cầu HTTP duy nhất.

React là thư viện JavaScript mã nguồn mở do Meta Platforms phát triển, dùng để xây dựng giao diện người dùng cho website và ứng dụng web. Nói dễ hiểu, React giúp tạo ra các trang web tương tác, mượt và phản hồi nhanh, giống như Facebook, Instagram hay nhiều ứng dụng web hiện đại khác. Tóm lại, React là nền tảng quan trọng đứng sau rất nhiều website và ứng dụng web hiện nay.

Next.js là framework (khung phát triển) dựa trên React, giúp lập trình viên xây dựng các ứng dụng web và website hiện đại nhanh hơn, tối ưu hơn.

Lỗ hổng thực thi mã từ xa React2Shell xuất phát từ cách xử lý dữ liệu không an toàn, khiến hacker có thể dễ dàng khai thác. Độ nguy hiểm của React2Shell được đánh giá ở mức cao nhất. Tệ hơn nữa, React được sử dụng rất phổ biến và tại thời điểm công bố React2Shell, khoảng 1/3 nhà cung cấp dịch vụ đám mây bị ảnh hưởng.

Nó được đặt tên là React2Shell dường như nhằm liên tưởng đến Log4Shell - lỗi nghiêm trọng tương tự xuất hiện cuối năm 2021 và tác động mạnh tới các môi trường sử dụng Log4j.

Log4j là thư viện mã nguồn mở dùng để ghi nhật ký cho ứng dụng Java, do tổ chức phi lợi nhuận Apache Software Foundation phát triển.

Các vụ khai thác React2Shell bắt đầu chỉ vài giờ sau khi lỗ hổng được công bố, cùng với nhiều đoạn mã thử nghiệm được công khai. Các nhóm hacker liên quan đến nhà nước khai thác React2Shell đầu tiên, nhưng chỉ trong vài ngày, số lượng kẻ tấn công đã tăng rất nhanh.

Stephen Fewer, nhà nghiên cứu cao cấp tại hãng an ninh mạng Rapid7 (Mỹ), giải thích rằng React2Shell nguy hiểm do mức độ phổ biến toàn cầu của các ứng dụng React. Không chỉ React được sử dụng rộng rãi mà các framework phụ thuộc như Next.js cũng rất phổ biến.

“Chúng tôi đã ghi nhận hơn nửa triệu tên miền công khai bị ảnh hưởng. Con số này rất lớn và chỉ phản ánh các hệ thống có thể truy cập công khai trên internet. Số lượng ứng dụng React bị ảnh hưởng trong mạng nội bộ còn lớn hơn nhiều và khó đánh giá đầy đủ”, Stephen Fewer nói.

4. Shai-Hulud mở toang cánh cửa cho mã độc tự lây lan trong phần mềm mã nguồn mở

Tháng 9, loại mã độc tự nhân bản có tên Shai-Hulud xuất hiện. Đây là infostealer (phần mềm đánh cắp thông tin) lây nhiễm vào các thành phần phần mềm mã nguồn mở. Khi người dùng tải về một gói phần mềm bị nhiễm, Shai-Hulud sẽ tự lây lan sang các gói khác mà người đó quản lý và phát hành các phiên bản nhiễm độc một cách tự động, hầu như không cần sự can thiệp trực tiếp từ hacker. Chu trình này cứ tiếp tục, khiến mã độc lan rộng rất nhanh.

Justin Moore, quản lý cấp cao mảng nghiên cứu tình báo mối đe dọa tại hãng an ninh mạng Palo Alto Networks (Mỹ), giải thích rằng mối nguy của Shai-Hulud nằm ở chỗ lợi dụng chính hệ thống tự động của các nhà phát triển phần mềm. Cụ thể, khi cài đặt một gói phần mềm, lập trình viên mặc định tin tưởng vào hàng chục gói khác mà gói đó dựa vào để hoạt động. Shai-Hulud khai thác điều này để lây lan sang các gói phần mềm khác và phát tán mã độc.

Dù trước đây cũng từng xảy ra những hình thức tấn công tương tự, Shai-Hulud như một “quả pháo nổ”, mở đầu cho nhiều đợt tấn công tiếp theo, gồm cả mã độc tự lây khác như GlassWorm, và đặc biệt là lây nhiễm vào nhiều gói phần mềm mã nguồn mở. Tình trạng lan rộng quá nhanh khiến GitHub phải lên tiếng, cam kết sẽ triển khai các biện pháp để hạn chế những sự cố tương tự trong tương lai.

Thuộc sở hữu của Microsoft, GitHub là nền tảng trực tuyến để lưu trữ, chia sẻ và cùng phát triển mã nguồn phần mềm.

5. Các chiến dịch tấn công nhắm vào khách hàng Salesforce

Đầu năm nay, một hacker đã xâm nhập vào tài khoản GitHub của hãng Salesloft (Mỹ). Từ đó, hacker đánh cắp các mã thông báo OAuth liên quan đến việc tích hợp Salesloft Drift với Salesforce. Hệ quả là các cuộc tấn công lan rộng tới hàng trăm hệ thống Salesforce khác nhau.

Salesforce là hãng phần mềm điện toán đám mây nổi tiếng với việc cung cấp các giải pháp quản lý quan hệ khách hàng (CRM) hàng đầu thế giới. Được thành lập vào năm 1999 bởi Marc Benioff và Parker Harris, Salesforce đã tiên phong trong việc cung cấp phần mềm dưới dạng dịch vụ (SaaS) qua internet, giúp các doanh nghiệp không cần phải cài đặt và duy trì phần mềm trên máy chủ riêng.

Salesloft Drift là sự kết nối giữa nền tảng quản lý bán hàng Salesloft và công cụ chat/tiếp thị Drift, giúp doanh nghiệp tự động hóa tương tác với khách hàng và đồng bộ dữ liệu vào Salesforce.

Zscaler, Palo Alto Networks, Proofpoint, Cloudflare, Tenable và nhiều công ty khác đều bị ảnh hưởng bởi chiến dịch này. Sự cố về cơ bản đã được xử lý hoàn toàn nhiều tháng qua, nhưng vẫn còn in đậm trong ký ức như một trong những vụ tấn công chuỗi cung ứng đáng sợ nhất năm 2025. Điều này diễn ra song song với các chiến dịch khác nhắm vào khách hàng Salesforce, gồm cả các cuộc tấn công của ShinyHunters và những sự cố tiếp nối từ các nhóm liên quan.

ShinyHunters là nhóm hacker thực hiện nhiều vụ tấn công mạng đánh cắp dữ liệu quy mô lớn rồi tống tiền các công ty. Được thành lập hồi 2020, ShinyHunters gây chú ý ngay năm đầu hoạt động khi chiếm đoạt hơn 200 triệu bản ghi của 13 công ty lớn trên thế giới. Nhóm này thường tập trung tấn công đánh cắp dữ liệu trên nền tảng đám mây hoặc ứng dụng web của nạn nhân để tống tiền.

Thay vì cố gắng che giấu dấu vết, ShinyHunters công khai lượng dữ liệu đã đánh cắp và công bố trên các diễn đàn ngầm, sau đó rao bán. Những vụ hack liên tục mà ShinyHunters thực hiện và nhận trách nhiệm tạo nên nỗi hoang mang trong cộng đồng an ninh mạng thế giới.

Jaime Blasco, đồng sáng lập kiêm Giám đốc công nghệ hãng an ninh mạng Nudge Security (Mỹ), cho biết Salesforce là mục tiêu hấp dẫn với hacker vì lưu trữ nhiều dữ liệu kinh doanh quan trọng, đặc biệt là các thông tin đăng nhập mà khách hàng có thể phải chia sẻ với nhà cung cấp qua các phiếu hỗ trợ. Phiếu hỗ trợ là hệ thống ghi nhận và quản lý yêu cầu hỗ trợ từ khách hàng trong các doanh nghiệp hoặc tổ chức.

“Các cuộc tấn công nhắm vào Salesforce chỉ là một ví dụ trong xu hướng rộng hơn, khi hacker khai thác hệ sinh thái các ứng dụng SaaS và cách chúng kết nối với nhau. Những kết nối này thường khó bị phát hiện bởi các biện pháp bảo mật truyền thống, khiến chúng trở thành điểm yếu dễ bị tấn công”, Jaime Blasco nhận định.

Sơn Vân

Nguồn Một Thế Giới : https://1thegioi.vn/5-moi-de-doa-gay-chan-dong-an-ninh-mang-nam-2025-243087.html