-
09/04/2020
-
112
-
1.102 bài viết
ShinyHunters – Nhóm tin tặc quốc tế và những vụ tấn công dữ liệu gây chấn động
Ngày 10/09, Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT) nhận được báo cáo về một sự cố an ninh mạng, đồng thời phát hiện dấu hiệu vi phạm dữ liệu cá nhân tại Trung tâm Thông tin Tín dụng Quốc gia (CIC). Theo thông tin từ databreaches.net, vụ việc lần này được cho là có liên quan đến ShinyHunters – nhóm tin tặc quốc tế nổi tiếng với hàng loạt vụ tấn công dữ liệu lớn trên thế giới. Vậy ShinyHunters là ai? Chúng hoạt động như thế nào và vì sao được coi là một trong những nhóm tội phạm mạng nguy hiểm nhất hiện nay?
Không chỉ hoạt động riêng lẻ, ShinyHunters còn duy trì mối liên kết gián tiếp với các nhóm tin tặc khác như Scattered Spider, tạo thành một mạng lưới tội phạm mạng quốc tế. Liên minh này cho phép bọn chúng chia sẻ dữ liệu, mở rộng phạm vi ảnh hưởng và phối hợp trong các chiến dịch quy mô lớn, từ đó nâng cao hiệu quả trong việc khai thác dữ liệu chiến lược và rao bán trên các diễn đàn ngầm. Mối liên kết này đồng thời cho thấy các nhóm tội phạm mạng hiện nay không chỉ hoạt động đơn lẻ mà vận hành theo một hệ sinh thái phức tạp, khó kiểm soát.
Chúng bắt đầu gây chú ý toàn cầu vào năm 2020, khi xâm nhập Tokopedia, sàn thương mại điện tử lớn của Indonesia, chiếm đoạt dữ liệu của 91 triệu người dùng, bao gồm thông tin cá nhân, email, mật khẩu và dữ liệu tài chính. Đồng thời, Zynga tại Mỹ cũng trở thành nạn nhân với khoảng 218 triệu tài khoản bị đánh cắp, trong khi GiveMeSport tại Anh mất khoảng 1 triệu tài khoản. Minecraft Forums và Star Tribune cũng nằm trong danh sách các nạn nhân, với hàng triệu tài khoản bị lộ dữ liệu, cho thấy bọn chúng hoạt động liên tục và quy mô lớn.
Sang năm 2021, Microsoft trở thành mục tiêu khi bọn chúng xâm nhập Office 365 dành cho học sinh và giáo viên, chiếm khoảng 500.000 hồ sơ gồm email, tên và mật khẩu hash. Tiếp theo năm 2022, bọn chúng tiếp tục mở rộng phạm vi tấn công với vụ việc tại Bonobos, một chuỗi cửa hàng thời trang nổi tiếng, dẫn đến rò rỉ khoảng 70GB dữ liệu nhạy cảm của khách hàng.
Không dừng lại, trong năm 2023, bọn ShinyHunters tiếp tục gây chú ý khi tiếp quản BreachForums, diễn đàn chuyên chia sẻ dữ liệu bị rò rỉ, sau khi người sáng lập trước đó bị bắt giữ, cho thấy bọn chúng không chỉ tấn công trực tiếp mà còn mở rộng tầm ảnh hưởng trên mạng.
Năm 2024, bọn chúng nhắm tới Ticketmaster, nền tảng bán vé lớn. Chúng đánh cắp hơn một terabyte dữ liệu khách hàng, bao gồm thông tin cá nhân, lịch sử mua vé và chi tiết thanh toán. Vụ việc này không chỉ gây thiệt hại về mặt uy tín cho Ticketmaster mà còn đặt ra cảnh báo về việc bảo vệ dữ liệu khách hàng trong các dịch vụ trực tuyến phổ biến.
Đến năm 2025, bọn chúng tiếp tục mở rộng phạm vi khi tấn công Salesforce và một số khách hàng doanh nghiệp quan trọng như Google, Qantas và Allianz Life. Chúng khai thác sơ hở trong bảo mật và lừa nhân viên tiết lộ thông tin, từ đó thu thập dữ liệu nhạy cảm của nhiều doanh nghiệp lớn. Chiến dịch này cho thấy bọn chúng không chỉ nhắm vào các công ty thương mại mà còn hướng tới các tổ chức có dữ liệu chiến lược, minh chứng cho sự tinh vi và nguy hiểm ngày càng gia tăng.
Một trong những phương thức phổ biến của bọn chúng là credential stuffing, khai thác thói quen dùng lại mật khẩu của người dùng. Khi có được cơ sở dữ liệu từ các vụ rò rỉ trước, bọn chúng thử đăng nhập vào nhiều hệ thống khác nhau để chiếm quyền truy cập tài khoản, thu thập thông tin nhạy cảm mà không cần tấn công trực tiếp vào hệ thống mới.
Bọn chúng cũng thường sử dụng SQL Injection, lợi dụng các lỗ hổng trong cơ sở dữ liệu web, cho phép truy vấn trực tiếp dữ liệu nhạy cảm. Khi cơ sở dữ liệu chưa được bảo vệ tốt, việc khai thác này giúp chúng trích xuất lượng lớn dữ liệu người dùng một cách nhanh chóng và hiệu quả. Tương tự, khai thác API hoặc các hệ thống chưa được bảo vệ đầy đủ cũng là phương thức thường thấy. Bọn chúng tìm các điểm truy cập thiếu kiểm soát, từ đó thu thập dữ liệu từ hệ thống mà chủ sở hữu không hề hay biết.
Một đặc trưng chiến lược của ShinyHunters là chia nhỏ dữ liệu rò rỉ. Chúng thường rò rỉ miễn phí một phần dữ liệu để nâng cao danh tiếng, tạo uy tín trong cộng đồng tội phạm mạng, đồng thời giữ phần lớn dữ liệu để bán trên dark web, tối đa hóa lợi nhuận.
Các phương thức này cho thấy bọn ShinyHunters không chỉ dựa vào may rủi mà vận hành theo kế hoạch chi tiết, tận dụng kết hợp nhiều kỹ thuật để khai thác tối đa giá trị dữ liệu.
Bên cạnh đó, yếu tố con người vẫn là mắt xích quan trọng. Kỹ năng xã hội và việc lợi dụng các tài khoản đã rò rỉ cho thấy nhân viên có thể vô tình cung cấp cơ hội cho hacker. Do đó, các tổ chức cần tăng cường đào tạo nhận thức bảo mật và thiết lập các quy trình xác thực chặt chẽ để giảm thiểu rủi ro từ yếu tố con người.
Thứ ba, việc chuẩn bị kế hoạch ứng phó sự cố và khôi phục dữ liệu là điều không thể bỏ qua. Khi một vụ tấn công xảy ra, khả năng phản ứng nhanh, hạn chế thiệt hại và khôi phục dữ liệu sẽ giúp tổ chức giảm tối đa tác động về tài chính, uy tín và niềm tin của khách hàng.
Cuối cùng, các vụ việc của ShinyHunters nhấn mạnh tầm quan trọng của hợp tác và chia sẻ thông tin trong cộng đồng an ninh mạng. Việc phối hợp giữa các tổ chức, cơ quan quản lý và các chuyên gia bảo mật giúp giám sát, phát hiện sớm các nguy cơ rò rỉ dữ liệu, từ đó đưa ra các biện pháp phòng ngừa hiệu quả.
ShinyHunters chứng minh rằng dữ liệu cá nhân và doanh nghiệp luôn ở trong tầm ngắm của các nhóm tội phạm mạng tinh vi. Mức độ tổ chức, chủ đích và quy mô các vụ tấn công của chúng là lời cảnh báo nghiêm túc cho mọi tổ chức: việc chủ động nâng cao an ninh, giám sát dữ liệu và củng cố phòng thủ không còn là lựa chọn mà là yêu cầu bắt buộc để tránh trở thành mục tiêu tiếp theo.
Chúng là ai và vì sao trở thành nỗi ám ảnh của dữ liệu cá nhân?
ShinyHunters là một nhóm tội phạm mạng quốc tế được cho là thành lập vào năm 2020, nổi bật với việc nhắm vào các nền tảng công nghệ, thương mại điện tử và dịch vụ trực tuyến để chiếm đoạt dữ liệu cá nhân và tài chính của hàng triệu người dùng. Chúng hoạt động theo cơ chế tổ chức cao, nhắm vào những hệ thống quan trọng, lợi dụng sơ hở bảo mật và sự thiếu cảnh giác của nhân viên, đồng thời duy trì mức độ ẩn danh cao để tránh bị phát hiện. Một số thành viên đã từng bị bắt giữ và xét xử tại nhiều quốc gia, nhưng hoạt động của bọn chúng vẫn tiếp diễn, cho thấy sự tinh vi và nguy hiểm mà chúng gây ra cho môi trường mạng toàn cầu.Không chỉ hoạt động riêng lẻ, ShinyHunters còn duy trì mối liên kết gián tiếp với các nhóm tin tặc khác như Scattered Spider, tạo thành một mạng lưới tội phạm mạng quốc tế. Liên minh này cho phép bọn chúng chia sẻ dữ liệu, mở rộng phạm vi ảnh hưởng và phối hợp trong các chiến dịch quy mô lớn, từ đó nâng cao hiệu quả trong việc khai thác dữ liệu chiến lược và rao bán trên các diễn đàn ngầm. Mối liên kết này đồng thời cho thấy các nhóm tội phạm mạng hiện nay không chỉ hoạt động đơn lẻ mà vận hành theo một hệ sinh thái phức tạp, khó kiểm soát.
Các vụ xâm nhập gây chấn động ShinyHunters
Ngoài vụ việc tấn công dữ liệu tại CIC ở Việt Nam, trước đó ShinyHunters còn thực hiện nhiều chiến dịch dữ liệu lớn trên thế giới, minh chứng cho phạm vi và mức độ tinh vi trong hoạt động của chúng.Chúng bắt đầu gây chú ý toàn cầu vào năm 2020, khi xâm nhập Tokopedia, sàn thương mại điện tử lớn của Indonesia, chiếm đoạt dữ liệu của 91 triệu người dùng, bao gồm thông tin cá nhân, email, mật khẩu và dữ liệu tài chính. Đồng thời, Zynga tại Mỹ cũng trở thành nạn nhân với khoảng 218 triệu tài khoản bị đánh cắp, trong khi GiveMeSport tại Anh mất khoảng 1 triệu tài khoản. Minecraft Forums và Star Tribune cũng nằm trong danh sách các nạn nhân, với hàng triệu tài khoản bị lộ dữ liệu, cho thấy bọn chúng hoạt động liên tục và quy mô lớn.
Sang năm 2021, Microsoft trở thành mục tiêu khi bọn chúng xâm nhập Office 365 dành cho học sinh và giáo viên, chiếm khoảng 500.000 hồ sơ gồm email, tên và mật khẩu hash. Tiếp theo năm 2022, bọn chúng tiếp tục mở rộng phạm vi tấn công với vụ việc tại Bonobos, một chuỗi cửa hàng thời trang nổi tiếng, dẫn đến rò rỉ khoảng 70GB dữ liệu nhạy cảm của khách hàng.
Không dừng lại, trong năm 2023, bọn ShinyHunters tiếp tục gây chú ý khi tiếp quản BreachForums, diễn đàn chuyên chia sẻ dữ liệu bị rò rỉ, sau khi người sáng lập trước đó bị bắt giữ, cho thấy bọn chúng không chỉ tấn công trực tiếp mà còn mở rộng tầm ảnh hưởng trên mạng.
Năm 2024, bọn chúng nhắm tới Ticketmaster, nền tảng bán vé lớn. Chúng đánh cắp hơn một terabyte dữ liệu khách hàng, bao gồm thông tin cá nhân, lịch sử mua vé và chi tiết thanh toán. Vụ việc này không chỉ gây thiệt hại về mặt uy tín cho Ticketmaster mà còn đặt ra cảnh báo về việc bảo vệ dữ liệu khách hàng trong các dịch vụ trực tuyến phổ biến.
Đến năm 2025, bọn chúng tiếp tục mở rộng phạm vi khi tấn công Salesforce và một số khách hàng doanh nghiệp quan trọng như Google, Qantas và Allianz Life. Chúng khai thác sơ hở trong bảo mật và lừa nhân viên tiết lộ thông tin, từ đó thu thập dữ liệu nhạy cảm của nhiều doanh nghiệp lớn. Chiến dịch này cho thấy bọn chúng không chỉ nhắm vào các công ty thương mại mà còn hướng tới các tổ chức có dữ liệu chiến lược, minh chứng cho sự tinh vi và nguy hiểm ngày càng gia tăng.
Chiến thuật tấn công thường thấy của ShinyHunters
Các vụ tấn công của bọn ShinyHunters cho thấy chúng vận hành theo một chiến lược bài bản và đa tầng. Chúng nhắm tới những hệ thống chứa dữ liệu giá trị cao, từ nền tảng thương mại điện tử, dịch vụ giáo dục trực tuyến đến các tập đoàn quốc tế. Mục tiêu không chỉ là dữ liệu cá nhân mà còn là các thông tin chiến lược có thể được tổng hợp, thương mại hóa hoặc dùng cho các cuộc tấn công tiếp theo.Một trong những phương thức phổ biến của bọn chúng là credential stuffing, khai thác thói quen dùng lại mật khẩu của người dùng. Khi có được cơ sở dữ liệu từ các vụ rò rỉ trước, bọn chúng thử đăng nhập vào nhiều hệ thống khác nhau để chiếm quyền truy cập tài khoản, thu thập thông tin nhạy cảm mà không cần tấn công trực tiếp vào hệ thống mới.
Bọn chúng cũng thường sử dụng SQL Injection, lợi dụng các lỗ hổng trong cơ sở dữ liệu web, cho phép truy vấn trực tiếp dữ liệu nhạy cảm. Khi cơ sở dữ liệu chưa được bảo vệ tốt, việc khai thác này giúp chúng trích xuất lượng lớn dữ liệu người dùng một cách nhanh chóng và hiệu quả. Tương tự, khai thác API hoặc các hệ thống chưa được bảo vệ đầy đủ cũng là phương thức thường thấy. Bọn chúng tìm các điểm truy cập thiếu kiểm soát, từ đó thu thập dữ liệu từ hệ thống mà chủ sở hữu không hề hay biết.
Một đặc trưng chiến lược của ShinyHunters là chia nhỏ dữ liệu rò rỉ. Chúng thường rò rỉ miễn phí một phần dữ liệu để nâng cao danh tiếng, tạo uy tín trong cộng đồng tội phạm mạng, đồng thời giữ phần lớn dữ liệu để bán trên dark web, tối đa hóa lợi nhuận.
Các phương thức này cho thấy bọn ShinyHunters không chỉ dựa vào may rủi mà vận hành theo kế hoạch chi tiết, tận dụng kết hợp nhiều kỹ thuật để khai thác tối đa giá trị dữ liệu.
Bài học rút ra
Từ các vụ tấn công của bọn ShinyHunters, có thể rút ra nhiều bài học quan trọng cho các tổ chức và cá nhân trong việc bảo vệ dữ liệu. Trước hết, việc quản lý và giám sát dữ liệu phải được thực hiện nghiêm ngặt. Hệ thống chưa kiểm soát quyền truy cập, cơ sở dữ liệu chưa được mã hóa đầy đủ hay API chưa bảo vệ tốt đều có thể trở thành lỗ hổng mà các nhóm tội phạm mạng tinh vi khai thác.Bên cạnh đó, yếu tố con người vẫn là mắt xích quan trọng. Kỹ năng xã hội và việc lợi dụng các tài khoản đã rò rỉ cho thấy nhân viên có thể vô tình cung cấp cơ hội cho hacker. Do đó, các tổ chức cần tăng cường đào tạo nhận thức bảo mật và thiết lập các quy trình xác thực chặt chẽ để giảm thiểu rủi ro từ yếu tố con người.
Thứ ba, việc chuẩn bị kế hoạch ứng phó sự cố và khôi phục dữ liệu là điều không thể bỏ qua. Khi một vụ tấn công xảy ra, khả năng phản ứng nhanh, hạn chế thiệt hại và khôi phục dữ liệu sẽ giúp tổ chức giảm tối đa tác động về tài chính, uy tín và niềm tin của khách hàng.
Cuối cùng, các vụ việc của ShinyHunters nhấn mạnh tầm quan trọng của hợp tác và chia sẻ thông tin trong cộng đồng an ninh mạng. Việc phối hợp giữa các tổ chức, cơ quan quản lý và các chuyên gia bảo mật giúp giám sát, phát hiện sớm các nguy cơ rò rỉ dữ liệu, từ đó đưa ra các biện pháp phòng ngừa hiệu quả.
ShinyHunters chứng minh rằng dữ liệu cá nhân và doanh nghiệp luôn ở trong tầm ngắm của các nhóm tội phạm mạng tinh vi. Mức độ tổ chức, chủ đích và quy mô các vụ tấn công của chúng là lời cảnh báo nghiêm túc cho mọi tổ chức: việc chủ động nâng cao an ninh, giám sát dữ liệu và củng cố phòng thủ không còn là lựa chọn mà là yêu cầu bắt buộc để tránh trở thành mục tiêu tiếp theo.
Tổng hợp