Một cuộc tấn công chuỗi cung ứng lớn đã dẫn đến việc dữ liệu của hàng trăm công ty bị xâm phạm. Google đã chính thức xác nhận rằng tin tặc đã đánh cắp dữ liệu được lưu trữ trên Salesforce của hơn 200 công ty. Vụ việc bắt nguồn từ một lỗ hổng trong ứng dụng Gainsight, một nền tảng hỗ trợ khách hàng được nhiều doanh nghiệp sử dụng.
Thông tin chi tiết được tiết lộ sau khi Salesforce công bố một sự cố bảo mật liên quan đến dữ liệu của “một số khách hàng Salesforce”, nhưng không nêu đích danh các công ty bị ảnh hưởng. Theo thông tin từ Austin Larsen, nhà phân tích mối đe dọa chính của Google Threat Intelligence Group, công ty đã ghi nhận “hơn 200 phiên bản Salesforce có khả năng bị ảnh hưởng”.
Ngay sau thông báo của Salesforce, nhóm hacker khét tiếng và bí ẩn có tên Scattered Lapsus$ Hunters, bao gồm cả nhóm ShinyHunters, đã lên tiếng nhận trách nhiệm về vụ tấn công thông qua một kênh Telegram. Nhóm này tuyên bố đã thực hiện các cuộc tấn công nhắm vào nhiều công ty lớn, bao gồm Atlassian, CrowdStrike, Docusign, F5, GitLab, Linkedin, Malwarebytes, SonicWall, Thomson Reuters và Verizon.
Trong một diễn biến liên quan, một phát ngôn viên của CrowdStrike, Kevin Benacci, cho biết công ty “không bị ảnh hưởng bởi vấn đề Gainsight và tất cả dữ liệu khách hàng vẫn an toàn”. CrowdStrike cũng xác nhận đã chấm dứt hợp đồng với một “người nội bộ đáng ngờ” với cáo buộc chuyển thông tin cho tin tặc. Verizon, Malwarebytes và Thomson Reuters hiện đang tiến hành điều tra về vụ việc. Docusign khẳng định không có bằng chứng về việc dữ liệu của họ bị xâm phạm, nhưng đã thực hiện các biện pháp phòng ngừa, bao gồm việc chấm dứt tất cả các tích hợp với Gainsight và kiểm soát luồng dữ liệu liên quan.
Các chuyên gia an ninh mạng đang đặc biệt chú ý đến cách thức mà nhóm ShinyHunters đã khai thác lỗ hổng. Theo thông tin từ nhóm này, họ đã xâm nhập được vào Gainsight thông qua một chiến dịch tấn công trước đó nhắm vào khách hàng của Salesloft, một nền tảng marketing sử dụng trí tuệ nhân tạo (AI). Trong vụ việc trước đó, tin tặc đã đánh cắp các mã thông báo xác thực của Drift, cho phép họ truy cập vào các phiên bản Salesforce liên kết và tải xuống dữ liệu.
Gainsight đã xác nhận rằng họ là một trong những nạn nhân của chiến dịch tấn công trước đó. Một phát ngôn viên của ShinyHunters cho biết Gainsight đã bị “xâm phạm hoàn toàn” do là khách hàng của Salesloft Drift. Salesforce cho biết theo chính sách, họ không bình luận về các vấn đề cụ thể liên quan đến khách hàng. Gainsight hiện vẫn chưa đưa ra phản hồi chính thức về vụ việc.
Trong khi đó, Salesforce nhấn mạnh rằng “không có dấu hiệu cho thấy sự cố này là do bất kỳ lỗ hổng nào trong nền tảng Salesforce”, cố gắng tách mình khỏi các vụ vi phạm dữ liệu của khách hàng. Gainsight đã đăng tải các thông tin cập nhật về sự cố trên trang thông tin của mình. Theo đó, công ty đang hợp tác với đơn vị ứng phó sự cố của Google, Mandiant, để điều tra vụ việc. Gainsight khẳng định sự cố “bắt nguồn từ kết nối bên ngoài của các ứng dụng — không phải từ bất kỳ vấn đề hoặc lỗ hổng nào trong nền tảng Salesforce”. Salesforce đã tạm thời thu hồi các mã thông báo truy cập đang hoạt động cho các ứng dụng được kết nối với Gainsight để đề phòng trong khi cuộc điều tra vẫn đang diễn ra, đồng thời thông báo cho các khách hàng bị ảnh hưởng về việc dữ liệu của họ bị đánh cắp.
Scattered Lapsus$ Hunters cũng thông báo trên kênh Telegram rằng họ có kế hoạch ra mắt một trang web chuyên dụng để tống tiền các nạn nhân của chiến dịch tấn công mới nhất vào tuần tới. Đây là phương thức hoạt động quen thuộc của nhóm; vào tháng 10, họ đã công bố một trang web tống tiền tương tự sau khi đánh cắp dữ liệu Salesforce của các nạn nhân trong sự cố Salesloft trước đó. Scattered Lapsus$ Hunters là một tập hợp các nhóm tội phạm mạng nói tiếng Anh, bao gồm ShinyHunters, Scattered Spider và Lapsus$, sử dụng các chiến thuật kỹ thuật xã hội để lừa nhân viên công ty cấp quyền truy cập vào hệ thống hoặc cơ sở dữ liệu của họ. Trong vài năm qua, các nhóm này đã tấn công nhiều nạn nhân nổi tiếng, chẳng hạn như MGM Resorts, Coinbase, DoorDash, và nhiều tổ chức khác.
Vụ việc một lần nữa nhấn mạnh tầm quan trọng của an ninh chuỗi cung ứng và những rủi ro liên quan đến việc sử dụng các ứng dụng và dịch vụ của bên thứ ba. Các công ty được khuyến cáo nên thường xuyên đánh giá các biện pháp bảo mật của nhà cung cấp và theo dõi chặt chẽ các hoạt động đáng ngờ. Đồng thời, người dùng nên cảnh giác với các hành vi lừa đảo và các nỗ lực tống tiền từ tin tặc. Các cơ quan chức năng cũng cần tăng cường hợp tác để truy vết và ngăn chặn các hoạt động tội phạm mạng như vậy.
