Màn giương đông kích tây từ thương vụ dữ liệu Việt Nam đến bẫy honeypot

[WhiteHat Team]

Giới bảo mật vừa được chứng kiến một màn đấu trí căng như dây đàn giữa công ty chuyên cung cấp dịch vụ tình báo và điều tra an ninh mạng Resecurity và nhóm tin tặc tự xưng là "Scattered Lapsus$ Hunters" (SLH). Câu chuyện bắt đầu bằng sự hả hê khoe mẽ: Trên Telegram, nhóm hacker tung ra hàng loạt ảnh chụp màn hình, tuyên bố đã "nắm thóp" được Resecurity. Chúng khoe khoang đã lấy sạch dữ liệu nội bộ từ danh sách nhân viên đến báo cáo tình báo như một đòn trả thù cho việc Resecurity dám giả mạo làm người mua trong một thương vụ rao bán cơ sở dữ liệu được cho là liên quan tới hệ thống tài chính Việt Nam trước đó.

Nhưng khoan đã, phim hay phải chờ đoạn kết, 30 chưa phải là Tết...
​

Cụ thể phía nhóm này cho biết chúng đã lấy được dữ liệu nội bộ, trao đổi nhân viên, báo cáo tình báo và danh sách khách hàng. Bằng chứng là ảnh chụp màn hình một không gian làm việc Mattermost, nơi các nhân sự Resecurity đang trao đổi với Pastebin về việc xử lý nội dung độc hại.
​

Bài đăng khoe mẽ chiến tích trên Telegram của nhóm tin tặc - Ảnh: BleepingComputer​

Trong khi hacker đang say sưa với chiến thắng, Resecurity lại bình thản đến lạ lùng.

Phía công ty khẳng định cái mà hacker tấn công chỉ là một "Honeypot" hay còn gọi là bẫy kỹ thuật số được giăng sẵn. Theo lời kể của đội ngũ an ninh, họ đã phát hiện có kẻ rình mò từ tháng 11/2025. Sang tháng 12, kẻ tấn công bắt đầu tự động hóa quá trình trích xuất dữ liệu, tạo ra hơn 188.000 yêu cầu truy cập, đồng thời sử dụng proxy dân cư để che giấu danh tính.

Thay vì phản đòn và phòng thủ, Resecurity lựa chọn cách tiếp cận khác: họ quyết định mở cửa dẫn dụ hacker vào một môi trường cách ly chứa toàn dữ liệu ảo.

Hơn 28.000 hồ sơ khách hàng cùng các bản ghi giao dịch thanh toán mà hacker tưởng đã đánh cắp thực chất chỉ là dữ liệu tổng hợp được tạo theo định dạng API của Stripe. Trong khi đối phương mải mê “vơ vét”, Resecurity âm thầm ghi lại toàn bộ log, theo dõi từng bước di chuyển. Đáng chú ý, quá trình này cũng làm lộ những sai sót vận hành nghiêm trọng, khi kẻ tấn công nhiều lần để rò rỉ địa chỉ IP thật do lỗi kết nối proxy. Theo Resecurity, toàn bộ bằng chứng thu thập được sau đó đã được chuyển cho cơ quan thực thi pháp luật.
​

Resecurity tung bằng chứng giám sát trên honeypot chứng minh đã dẫn dụ nhóm hacker - Ảnh: Resecurity​

Vụ việc càng trở nên rối rắm khi ShinyHunters - cái tên có sức nặng trong giới tội phạm mạng bất ngờ lên tiếng phủ nhận liên quan đến sự việc, dù trước đó thường được xem là một phần của liên minh SLH. Động thái này khiến nhóm Scattered Lapsus$ Hunters gần như bị đặt vào thế đơn độc trong các cáo buộc nhằm vào Resecurity.

Ở chiều ngược lại, nhóm tấn công vẫn khăng khăng cho rằng Resecurity chỉ đang tìm cách “chữa cháy” sau sự cố. Tuy nhiên, nếu kịch bản honeypot mà Resecurity công bố là chính xác thì đây không phải một vụ xâm nhập thông thường mà là một pha "Giương đông kích tây" khá điển hình, nơi kẻ tấn công bị kéo sâu vào chiếc bẫy được chuẩn bị từ trước.

Đến thời điểm hiện tại, phía tin tặc vẫn chưa đưa ra thêm bằng chứng mới, chỉ để lại một thông điệp mang tính thách thức trên Telegram:

“Xử lý khủng hoảng cũng ổn đấy, Resecurity. Thông tin tiếp theo sẽ sớm xuất hiện.”

An ninh mạng chưa bao giờ là một cuộc so găng công khai. Ai thắng, ai thua thì điều đó chỉ được quyết định ở những lớp sâu mà người ngoài không bao giờ nhìn thấy.
​

Theo Bleeping Computer​