Google lên tiếng xác nhận hơn 200 công ty bị đánh cắp dữ liệu

2 giờ trướcBài gốc

Hình ảnh: Getty

Google xác nhận: Tin tặc đánh cắp dữ liệu hơn 200 công ty qua vụ xâm nhập Gainsight

Google mới đây đã công bố thông tin chi tiết về vụ tấn công mạng nghiêm trọng, trong đó tin tặc đã đánh cắp dữ liệu của hơn 200 công ty. Vụ việc này liên quan đến nền tảng Salesforce và được thực hiện thông qua các ứng dụng do Gainsight - một nhà cung cấp giải pháp hỗ trợ khách hàng phát hành.

Trước đó, Salesforce đã thông báo về việc "dữ liệu Salesforce của một số khách hàng" bị vi phạm. Tuy nhiên, thông báo này không nêu đích danh các công ty bị ảnh hưởng.

Austin Larsen - nhà phân tích mối đe dọa chính của Google Threat Intelligence Group cho biết: "Google biết về hơn 200 trường hợp Salesforce có khả năng bị ảnh hưởng bởi vụ tấn công này".

Nhóm tội phạm mạng nguy hiểm nhất năm 2025

ShinyHunters rò rỉ thông tin đang cố gắng bán dữ liệu vi phạm. Hình ảnh: BleepingComputer

Năm 2025, thế giới an ninh mạng chứng kiến sự xuất hiện đột ngột của một liên minh tác nhân đe dọa mới mang tên Scattered Lapsus$ Hunters - một nhóm tập hợp các thành phần của ba tổ chức tội phạm mạng khét tiếng: Scattered Spider, LAPSUS$ và ShinyHunters.

Ngay sau khi Salesforce công bố vụ vi phạm, nhóm tin tặc này đã công khai nhận trách nhiệm trên kênh Telegram của mình.

Nhóm này nổi tiếng với các vụ tấn công nhắm vào nhiều tên tuổi lớn như Atlassian, CrowdStrike, Docusign, F5, GitLab, Linkedin, Malwarebytes, SonicWall, Thomson Reuters và Verizon.

Sự liên minh của các nhóm tin tặc giờ đây thể hiện rõ ràng ý đồ: Thay vì các cuộc tấn công đơn lẻ, nạn nhân sẽ phải đối mặt với một cuộc tấn công tích hợp, nhiều giai đoạn, kết hợp kỹ thuật xã hội, đánh cắp dữ liệu và tống tiền công khai.

Về bản chất, Scattered Lapsus$ Hunters hoạt động như một "siêu nhóm" tận dụng thế mạnh và chiến thuật của các thành viên. Từ Scattered Spider - liên minh sở hữu chuyên môn về truy cập ban đầu và kỹ thuật hỗ trợ kỹ thuật đến LAPSUS$ - tai tiếng trong việc tuyển dụng nội gián và đánh cắp mã nguồn và ShinyHunters - có năng lực tinh vi trong việc thu thập và tống tiền dữ liệu quy mô lớn. Cùng nhau, họ đã dàn dựng các chiến dịch tác động mạnh mẽ nhắm vào các môi trường doanh nghiệp có giá trị cao, đặc biệt là các nền tảng SaaS như Salesforce, cũng như các thương hiệu lớn trong lĩnh vực bán lẻ, thời trang, hàng không và bảo hiểm.

Scattered Lapsus$ Hunters là một nhóm hacker nói tiếng Anh, bao gồm nhiều băng nhóm tội phạm mạng khét tiếng như ShinyHunters, Scattered Spider và Lapsus$. Các thành viên của nhóm này thường sử dụng các chiến thuật kỹ thuật xã hội để lừa nhân viên công ty cấp quyền truy cập vào hệ thống hoặc cơ sở dữ liệu. Trong vài năm qua, chúng đã nhắm vào nhiều nạn nhân nổi tiếng khác như MGM Resorts, Coinbase và DoorDash.

Chiến thuật tấn công phức tạp của nhóm tin tặc vào Salesforce

Ngày 3/10/2025, Lapsus$ rải rác đã ra mắt cổng thông tin "phần mềm tống tiền", công khai đe dọa Salesforce và các tổ chức khác bị ảnh hưởng bởi các cuộc tấn công kỹ thuật xã hội hoặc vụ vi phạm Salesloft Drift. Cổng thông tin này cảnh báo rằng nếu không thực hiện khoản thanh toán theo yêu cầu, dữ liệu bị xâm phạm sẽ bị lộ, đồng thời đặt thời hạn chót là ngày 10/10.

Trong một cuộc trò chuyện trực tuyến, đại diện của ShinyHunters tiết lộ rằng chúng đã tiếp cận được Gainsight nhờ một chiến dịch tấn công trước đó nhắm vào khách hàng của Salesloft - một công ty cung cấp nền tảng tiếp thị sử dụng AI và chatbot có tên Drift. Trong vụ việc đó, tin tặc đã đánh cắp các mã thông báo xác thực Drift từ những khách hàng này, qua đó giành quyền truy cập vào các phiên bản Salesforce liên kết và tải xuống dữ liệu.

Yêu cầu nhập mã kết nối từ nền tảng Salesforce. Hình ảnh: Google

Kẻ tấn công đã giả danh nhân viên hỗ trợ công nghệ thông tin trong các cuộc gọi điện thoại đến các nhân viên mục tiêu, cố gắng thuyết phục họ truy cập trang thiết lập ứng dụng được kết nối của Salesforce. Trên trang này, họ được yêu cầu nhập "mã kết nối", mã này sẽ liên kết phiên bản độc hại của ứng dụng Data Loader OAuth của Salesforce với môi trường Salesforce của mục tiêu.

OAuth là một tiêu chuẩn cho phép người dùng ủy quyền cho một ứng dụng hoặc dịch vụ kết nối với một ứng dụng hoặc dịch vụ khác. Nhờ sử dụng OAuth, Drift có thể tích hợp với các nền tảng như Salesforce và các nền tảng khác để tương tác với khách truy cập trang web.

Kết luận về cuộc điều tra vụ tấn công của Salesoft. Ảnh chụp màn hình

Khi đánh cắp các mã thông báo này, kẻ tấn công đã xâm phạm quyền riêng tư của một số khách hàng của Salesloft như Bugcrowd, Cloudflare, Google, Proofpoint, Palo Alto Networks và Tenable cùng nhiều khách hàng khác.

Bằng cách truy cập mã thông báo Salesloft, tin tặc sau đó truy cập vào các phiên bản Salesforce CRM, nơi chúng đánh cắp dữ liệu nhạy cảm của khách hàng.

Gainsight sau đó đã xác nhận là một trong những nạn nhân của chiến dịch tấn công mạng liên quan đến Salesloft Drift. Người phát ngôn của ShinyHunters khẳng định: "Gainsight là khách hàng của Salesloft Drift. Họ bị ảnh hưởng gián tiếp và bị chúng tôi xâm phạm hoàn toàn."

Gainsight cho biết đang hợp tác với đơn vị ứng phó sự cố Mandiant của Google để điều tra. Theo Gainsight, sự cố "bắt nguồn từ kết nối bên ngoài của các ứng dụng - không phải từ bất kỳ vấn đề hay lỗ hổng nào trong nền tảng Salesforce".

Để đảm bảo an toàn, Salesforce đã "tạm thời thu hồi mã thông báo truy cập đang hoạt động cho các ứng dụng được kết nối với Gainsight" và đang thông báo cho những khách hàng bị ảnh hưởng.

Minh Phú

Nguồn Công dân & Khuyến học : https://congdankhuyenhoc.vn/google-len-tieng-xac-nhan-hon-200-cong-ty-bi-danh-cap-du-lieu-179251127161534133.htm