ShinyHunters và các vụ tấn công mạng đánh cắp dữ liệu gây chấn động

3 giờ trướcBài gốc

Được thành lập hồi 2020, ShinyHunters gây chú ý ngay năm đầu hoạt động khi chiếm đoạt hơn 200 triệu bản ghi của 13 công ty lớn trên thế giới. Nhóm hacker này thường tập trung tấn công đánh cắp dữ liệu trên nền tảng đám mây hoặc ứng dụng web của nạn nhân để tống tiền.

Thay vì cố gắng che giấu dấu vết, ShinyHunters công khai lượng dữ liệu đã đánh cắp và công bố trên các diễn đàn ngầm, sau đó rao bán. Những vụ hack liên tục mà ShinyHunters thực hiện và nhận trách nhiệm tạo nên nỗi hoang mang trong cộng đồng an ninh mạng thế giới.

Cách thức quen thuộc của ShinyHunters là xâm nhập hệ thống nạn nhân qua lỗ hổng đã biết hoặc social engineering (kỹ nghệ xã hội, hình thức lừa đảo dựa trên thao túng tâm lý).

Gần đây, một báo cáo từ trang web DataBreaches cho biết ShinyHunters khai thác thành công một lỗ hổng N-day (còn gọi là Zero-day cũ) trong phần mềm đã hết hỗ trợ tại Trung tâm Thông tin Tín dụng Quốc gia Việt Nam (CIC), chiếm đoạt khoảng 3 tỉ bản ghi toàn hệ thống, trong đó có 160 triệu bản ghi chứa thông tin cá nhân người Việt.

DataBreaches là trang web chuyên đưa tin, theo dõi và phân tích các vụ rò rỉ dữ liệu, tấn công mạng và sự cố an ninh thông tin trên toàn cầu.

Trước đó, Google Threat Intelligence Group cảnh báo ShinyHunters thực hiện chiêu trò gọi điện giả danh nhân viên kỹ thuật để lừa nạn nhân cài đặt ứng dụng giả mạo lên nền tảng Salesforce. Khi đó, nạn nhân sẽ nhập một “mã kết nối” và vô tình cấp quyền cho phần mềm độc hại để lấy toàn bộ dữ liệu trong hệ thống đám mây của mình.

Google Threat Intelligence Group là bộ phận của Google chuyên nghiên cứu, phân tích và cung cấp thông tin tình báo về các mối đe dọa an ninh mạng trên toàn cầu. Nhiệm vụ chính của Google Threat Intelligence Group:

- Theo dõi và điều tra các chiến dịch tấn công mạng, đặc biệt là các nhóm hacker có liên hệ với quốc gia hoặc tổ chức tội phạm mạng lớn.

- Thu thập và phân tích dữ liệu từ nhiều nguồn, gồm hạ tầng Google, các báo cáo bảo mật và dữ liệu nguồn mở, để tìm ra mô hình, công cụ và kỹ thuật mà hacker sử dụng.

- Cung cấp cảnh báo cho các tổ chức, doanh nghiệp và cộng đồng an ninh mạng, giúp họ phát hiện sớm và giảm thiểu rủi ro từ các mối đe dọa mạng.

Nếu nạn nhân không đáp ứng yêu cầu tiền chuộc, ShinyHunters lập tức tung dữ liệu ra chợ đen.

Trong vụ tấn công nhắm vào Snowflake Cloud hồi giữa 2024 (hướng tới Ticketmaster, Santander…), nhóm này thậm chí đã đòi các công hàng trăm nghìn đến hơn một triệu USD tiền chuộc để xóa dữ liệu, nếu không sẽ công khai bán thông tin đó.

Một số chuyên gia nhận định ShinyHunters còn hoạt động như dịch vụ tống tiền, tức sẵn sàng rao bán dữ liệu bị đánh cắp từ các nhóm hacker khác và chia phần trăm lợi nhuận cho "đối tác".

ShinyHunters thực hiện nhiều vụ tấn công mạng đánh cắp dữ liệu quy mô lớn thời gian qua - Ảnh: Internet

Cách thức tấn công

ShinyHunters thường tập trung vào các dữ liệu nhạy cảm và hệ thống đám mây lớn, sử dụng kết hợp nhiều kỹ thuật. Theo các cuộc điều tra, ShinyHunters thường dò tìm lỗ hổng trên dịch vụ đám mây hoặc phần mềm dưới dạng dịch vụ hoặc lợi dụng cấu hình kém để đột nhập.

Các chuyên gia tại hãng an ninh mạng Thycotic (Mỹ) nhận xét rằng ShinyHunters “thường nhắm vào các cấu hình sai lầm trên điện toán đám mây, tìm kiếm lỗ hổng để đánh cắp thông tin nhạy cảm, sau đó sẽ dùng dữ liệu đó để tấn công chéo nơi khác”.

Ngoài ra, việc ShinyHunters áp dụng kỹ thuật lừa đảo qua điện thoại (vishing) như trên Salesforce càng cho thấy thủ đoạn tinh vi, giả danh hỗ trợ kỹ thuật và thiết lập phần mềm độc hại trên nền tảng doanh nghiệp.

Mục tiêu của ShinyHunters đa phần là các tổ chức giáo dục, tài chính, bán lẻ, hãng hàng không… sử dụng dịch vụ đám mây.

ShinyHunters hợp tác với Scattered Spider

Để kiếm tiền, ShinyHunters tích cực sử dụng các diễn đàn dark web như RaidForums và BreachForums, rao bán dữ liệu đánh cắp được nhằm tăng uy tín.

Ngoài ra, ShinyHunters còn thiết lập liên kết gián tiếp với nhóm Scattered Spider để hình thành mạng lưới tội phạm mạng quốc tế. Sự hợp tác này giúp ShinyHunters mở rộng phạm vi, phối hợp trong các chiến dịch lớn và khai thác dữ liệu chiến lược hiệu quả hơn, đồng thời cho thấy các nhómc tội phạm mạng hiện nay hoạt động theo một hệ sinh thái phức tạp, khó kiểm soát.

Scattered Spider là tên được đặt không chính thức cho nhóm tội phạm mạng gồm phần lớn là nam giới trẻ tuổi, chủ yếu từ Mỹ, Anh và Tây Âu, hoạt động phân tán và phi tập trung, nổi lên từ khoảng năm 2022. Hôm 20.8 vừa, Noah Urban (thành viên 20 tuổi của Scattered Spider) bị kết án 10 năm tù ở Mỹ, liên quan đến hàng loạt vụ tấn công mạng lớn và trộm tiền mã hóa.

Allan Liska, nhà phân tích tình báo của hãng an ninh mạng Recorded Future (Mỹ), nói: "Theo thông tin tình báo từ Recorded Future, sự chồng chéo giữa các cuộc tấn công đã biết của Scattered Spider và ShinyHunters cho thấy có sự giao thoa giữa hai nhóm này".

Các chuyên gia khác nói ShinyHunters và Scattered Spider dường như đang hoạt động đồng bộ, nhắm vào một ngành công nghiệp cùng lúc, khiến việc xác định cuộc tấn công trở nên khó khăn hơn.

Danh tính phần lớn thành viên ShinyHunters vẫn được giữ bí mật vì nhóm này hoạt động ẩn danh trên dark web (web tối) và diễn đàn hacker quốc tế. Tuy nhiên, một số cuộc điều tra hé lộ ShinyHunters có liên hệ với cộng đồng hacker ở châu Á, đặc biệt là Pakistan và Indonesia. Một số chuyên gia an ninh mạng cho rằng một số thành viên ShinyHunters có thể từng tham gia các diễn đàn rao bán dữ liệu ngầm từ khu vực này.

Năm 2021, Séraphin Ranson bị bắt ở Ma Rốc, sau đó dẫn độ về Pháp. Anh bị cáo buộc có liên hệ với ShinyHunters trong các vụ bán dữ liệu đánh cắp, theo báo Le Monde và Cybersecurity News.

Đến năm 2022, cảnh sát Pháp điều tra một số nghi phạm khác có liên quan đến việc ShinyHunters phát tán dữ liệu trên RaidForums.

Các vụ tấn công mạng gây chấn động của ShinyHunters

Từ khi xuất hiện, ShinyHunters đã nhắm vào hàng chục công ty toàn cầu, gây rúng động ngành an ninh mạng. Bên dưới là những vụ tấn công mạng đánh cắp dữ liệu quy mô lớn của ShinyHunters.

Đầu năm 2020, ứng dụng giải toán Mathway (Mỹ) bị ShinyHunters hack, làm lộ khoảng 25 triệu bản ghi người dùng (email và mật khẩu).

Đến tháng 5.2020, sàn thương mại điện tử Tokopedia (Indonesia) bị ShinyHunters tấn công và có tới 91 triệu tài khoản khách hàng bị lộ thông tin (họ tên, email, mật khẩu hash).

Chỉ một tháng sau đó (6.2020), mạng xã hội sáng tác truyện Wattpad thông báo hầu hết trong 270 triệu tài khoản người dùng đã bị rò rỉ thông tin cá nhân (tên, email, mật khẩu băm) lên diễn đàn. Vụ hack này cũng do ShinyHunters gây ra.

Giai đoạn cuối 2020, ShinyHunters tiếp tục tấn công mạng và công khai lượng dữ liệu khổng lồ.

Tháng 11.2020, 46 triệu tài khoản trò chơi trực tuyến AnimalJam và 3,2 triệu tài khoản dịch vụ xem phim trực tuyến Pluto TV bị ShinyHunters rao bán trên các diễn đàn hacker.

Đầu năm 2021, hacker tự xưng thành viên ShinyHunters đã đăng miễn phí 77 triệu hồ sơ người dùng dịch vụ Nitro PDF lên diễn đàn.

Ngoài ra, ShinyHunters còn tấn công dịch vụ in ảnh Pixlr (1,9 triệu bản ghi) và nền tảng hẹn hò MeetMindful (2,3 triệu bản ghi).

Gần đây, ShinyHunters tiếp tục gây xôn xao khi tấn công các công ty tầm cỡ. Tháng 4.2024, ShinyHunters tiết lộ đã đánh cắp dữ liệu khoảng 110 triệu khách hàng hãng viễn thông AT&T (Mỹ) qua lỗ hổng trên nền tảng Snowflake và nhận được 370.000 USD tiền chuộc từ AT&T.

ShinyHunters rao bán dữ liệu khách hàng AT&T trên một diễn đàn - Ảnh chụp màn hình

Tháng 5.2024, ngân hàng Santander (Tây Ban Nha) thừa nhận khoảng 30 triệu tài khoản khách hàng tại Tây Ban Nha, Chile và Uruguay bị rò rỉ dữ liệu qua vụ tấn công của ShinyHunters.

Đến tháng 7.2025, hãng hàng không Qantas (Úc) xác nhận lộ dữ liệu cá nhân của 5,7 triệu khách hàng. Nhiều chuyên gia an ninh cho rằng ShinyHunters chịu trách nhiệm trong cuộc tấn công đó, vì thường dùng chính tên mình trong thư tống tiền và các lần rao bán dữ liệu liên quan.

Bảng tóm tắt một số vụ tấn công mạng gây rúng động của ShinyHunters

Bên trên chỉ là một phần trong số rất nhiều vụ tấn công mạng mà ShinyHunters từng thực hiện. Có thể thấy đối tượng bị ShinyHunters nhắm tới rất đa dạng, từ ứng dụng giải toán, đọc file PDF, game, dịch vụ truyền hình online, sàn thương mại điện tử cho tới hãng công ty lớn trong nhiều ngành.

Sơn Vân

Nguồn Một Thế Giới : https://1thegioi.vn/shinyhunters-va-cac-vu-tan-cong-mang-danh-cap-du-lieu-gay-chan-dong-237441.html