-
09/04/2020
-
116
-
1.179 bài viết
Hơn 1 tỷ bản ghi Salesforce bị đánh cắp: Dấu ấn của nhóm Scattered Lapsus$ Hunters
Nhóm tin tặc có tên Scattered Lapsus$ Hunters vừa tuyên bố chịu trách nhiệm cho vụ đánh cắp hơn 1 tỷ bản ghi dữ liệu từ các hệ thống Salesforce trên toàn cầu. Đây là một trong những vụ tấn công nghiêm trọng nhất nhắm vào nền tảng điện toán đám mây của doanh nghiệp, khiến giới an ninh mạng đặc biệt lo ngại.
Theo các chuyên gia, chiến dịch này bắt đầu khi nhiều doanh nghiệp phát hiện những truy vấn bất thường trong hệ thống Salesforce của mình, thường xuất hiện vào ban đêm. Các log điều tra cho thấy lượng dữ liệu bị truy cập vượt xa ngưỡng bình thường, hé lộ một công cụ tự động trích xuất dữ liệu quy mô lớn đang hoạt động trong nền.
Nhóm hacker đã kết hợp lừa đảo qua email (phishing) và tấn công nhồi thông tin đăng nhập (credential stuffing) để xâm nhập ban đầu. Nạn nhân nhận được email trông như thông báo cập nhật bảo mật hợp pháp của Salesforce hoặc Microsoft Office, kèm tệp macro độc hại. Khi mở tệp, macro này sẽ âm thầm tải xuống một trình nạp (loader) được viết bằng ngôn ngữ Go, liên hệ với máy chủ điều khiển của hacker.
Sau khi xâm nhập, phần mềm độc hại sử dụng PowerShell để kích hoạt tải về mã độc chính. Công cụ này kiểm tra xem có đang bị phân tích trong môi trường sandbox hay không, rồi tiếp tục đánh cắp thông tin đăng nhập trong Windows Credential Manager và dùng chúng để đăng nhập vào API của Salesforce.
Một khi đã có quyền truy cập, mã độc tự động quét cấu trúc dữ liệu, tạo các truy vấn để tải xuống dữ liệu từng phần, từ thông tin khách hàng, dự báo doanh thu, hợp đồng, chiến lược kinh doanh cho đến các tệp nội bộ. Tất cả được mã hóa bằng thuật toán ChaCha20 trước khi gửi về máy chủ hacker qua kết nối HTTPS, giúp tránh bị phát hiện.
Đáng chú ý, phần mềm còn thiết lập tác vụ định kỳ (Scheduled Task) tên UpdaterSvc để tự khởi động lại quá trình trích xuất dữ liệu mỗi 2 giờ, bảo đảm duy trì quyền truy cập và “hút sạch” dữ liệu mà không cần người dùng hay hệ thống biết.
Các nhà phân tích ước tính tốc độ rò rỉ dữ liệu có thể lên đến 500GB mỗi giờ, cho thấy nhóm tấn công đã tối ưu hóa rất tốt hạ tầng và kỹ thuật của mình. Điều này không chỉ đe dọa thông tin cá nhân của khách hàng mà còn làm lộ các chiến lược kinh doanh, kế hoạch bán hàng và dữ liệu đàm phán bí mật, những tài sản vô giá của doanh nghiệp.
Do Salesforce là nền tảng trung tâm trong nhiều quy trình kinh doanh, một vụ xâm nhập như vậy có thể gây tê liệt hoạt động, thiệt hại danh tiếng và mất lòng tin nghiêm trọng.
Theo giới chuyên gia, vụ việc này phản ánh rủi ro ngày càng lớn trong việc bảo mật hạ tầng đám mây, nơi chỉ cần một tài khoản API hoặc cấu hình sai cũng đủ để hacker thâm nhập. Để giảm thiểu rủi ro, doanh nghiệp cần:
Theo các chuyên gia, chiến dịch này bắt đầu khi nhiều doanh nghiệp phát hiện những truy vấn bất thường trong hệ thống Salesforce của mình, thường xuất hiện vào ban đêm. Các log điều tra cho thấy lượng dữ liệu bị truy cập vượt xa ngưỡng bình thường, hé lộ một công cụ tự động trích xuất dữ liệu quy mô lớn đang hoạt động trong nền.
Nhóm hacker đã kết hợp lừa đảo qua email (phishing) và tấn công nhồi thông tin đăng nhập (credential stuffing) để xâm nhập ban đầu. Nạn nhân nhận được email trông như thông báo cập nhật bảo mật hợp pháp của Salesforce hoặc Microsoft Office, kèm tệp macro độc hại. Khi mở tệp, macro này sẽ âm thầm tải xuống một trình nạp (loader) được viết bằng ngôn ngữ Go, liên hệ với máy chủ điều khiển của hacker.
Sau khi xâm nhập, phần mềm độc hại sử dụng PowerShell để kích hoạt tải về mã độc chính. Công cụ này kiểm tra xem có đang bị phân tích trong môi trường sandbox hay không, rồi tiếp tục đánh cắp thông tin đăng nhập trong Windows Credential Manager và dùng chúng để đăng nhập vào API của Salesforce.
Một khi đã có quyền truy cập, mã độc tự động quét cấu trúc dữ liệu, tạo các truy vấn để tải xuống dữ liệu từng phần, từ thông tin khách hàng, dự báo doanh thu, hợp đồng, chiến lược kinh doanh cho đến các tệp nội bộ. Tất cả được mã hóa bằng thuật toán ChaCha20 trước khi gửi về máy chủ hacker qua kết nối HTTPS, giúp tránh bị phát hiện.
Đáng chú ý, phần mềm còn thiết lập tác vụ định kỳ (Scheduled Task) tên UpdaterSvc để tự khởi động lại quá trình trích xuất dữ liệu mỗi 2 giờ, bảo đảm duy trì quyền truy cập và “hút sạch” dữ liệu mà không cần người dùng hay hệ thống biết.
Các nhà phân tích ước tính tốc độ rò rỉ dữ liệu có thể lên đến 500GB mỗi giờ, cho thấy nhóm tấn công đã tối ưu hóa rất tốt hạ tầng và kỹ thuật của mình. Điều này không chỉ đe dọa thông tin cá nhân của khách hàng mà còn làm lộ các chiến lược kinh doanh, kế hoạch bán hàng và dữ liệu đàm phán bí mật, những tài sản vô giá của doanh nghiệp.
Do Salesforce là nền tảng trung tâm trong nhiều quy trình kinh doanh, một vụ xâm nhập như vậy có thể gây tê liệt hoạt động, thiệt hại danh tiếng và mất lòng tin nghiêm trọng.
Theo giới chuyên gia, vụ việc này phản ánh rủi ro ngày càng lớn trong việc bảo mật hạ tầng đám mây, nơi chỉ cần một tài khoản API hoặc cấu hình sai cũng đủ để hacker thâm nhập. Để giảm thiểu rủi ro, doanh nghiệp cần:
- Bật xác thực đa yếu tố (MFA) cho mọi tài khoản quản trị và API.
- Kiểm tra và giới hạn phân quyền truy cập của các tài khoản dịch vụ.
- Tắt hoặc giám sát các macro trong email Office, đặc biệt với tệp lạ.
- Thiết lập cảnh báo bất thường trong nhật ký Salesforce (log monitoring).
- Định kỳ rà soát các API và token cũ không còn sử dụng.