Sự cố bắt đầu từ hôm thứ Ba (12/8) khi công ty phát hiện sự cố trên một hệ thống nội bộ. Trong một bài đăng xác nhận vụ tấn công, Colt cho biết hệ thống bị ảnh hưởng tách biệt với hạ tầng của khách hàng.

Ảnh minh họa

“Chúng tôi đã lập tức triển khai các biện pháp bảo vệ để đảm bảo an toàn cho khách hàng, đối tác và doanh nghiệp, đồng thời chủ động thông báo cho các cơ quan chức năng liên quan,” công ty viễn thông của Anh cho biết.

Colt cũng đã tạm ngắt một số hệ thống, gây gián đoạn dịch vụ hỗ trợ, bao gồm cổng khách hàng Colt Online và nền tảng Voice API – vốn cho phép khách hàng tự động hóa và quản lý dịch vụ thoại. Công ty hiện khuyến nghị khách hàng liên hệ qua email hoặc điện thoại.

Chưa rõ cuộc tấn công mạng diễn ra theo cách nào nhưng theo chuyên gia an ninh mạng Kevin Beaumont, nhiều khả năng kẻ tấn công đã xâm nhập thông qua sharehelp.colt.net bằng cách khai thác lỗ hổng SharePoint CVE-2025-53770. Lỗ hổng này cho phép kẻ xấu đánh cắp khóa mật mã từ máy chủ chưa vá, từ đó thực thi mã từ xa (RCE) thông qua các yêu cầu độc hại.

Chuyên gia Beaumont cho biết, nhóm Warlock đã đánh cắp “vài trăm GB” dữ liệu và tài liệu khách hàng, rồi đăng danh sách tệp lên một diễn đàn Tor tại Nga để rao bán. Nhóm tuyên bố đang rao bán khoảng 1 triệu tài liệu, bao gồm: dữ liệu lương nhân viên, dữ liệu tài chính, hợp đồng khách hàng, thông tin cá nhân của lãnh đạo và nhân viên công ty, kiến trúc mạng và dữ liệu phát triển phần mềm. Ông Beaumont xác nhận tên các tệp là thật, ví dụ như tài liệu khách hàng hay các bản đánh giá hiệu suất của nhân viên Colt.

Colt là công ty viễn thông mới nhất bị tin tặc tấn công

Đây là vụ việc mới nhất trong loạt tấn công nhắm vào các công ty viễn thông châu Âu, sau khi Orange và Bouygues Telecom (Pháp) đều bị tin tặc tấn công chỉ trong tháng trước.

Cơ quan an ninh mạng Pháp ANSSI gần đây cũng cảnh báo về các mối đe dọa gián điệp mạng do tin tặc có liên hệ với nhà nước nhắm vào lĩnh vực viễn thông, với nhiều vụ xâm nhập trong những năm gần đây.

Tại Mỹ, những cuộc tấn công tương tự nhằm vào nhà mạng được cho là do nhóm tin tặc Salt Typhoon thực hiện.

“Chúng ta đã thấy rõ năm nay rằng lĩnh vực viễn thông đặc biệt dễ bị tổn thương, và vụ tấn công Warlock này cho thấy những vấn đề lặp lại mà các nhà cung cấp dịch vụ mạng lớn đang phải đối mặt,” bà Gabrielle Hempel, chiến lược gia vận hành an ninh tại Exabeam, nhận định.

Bà Hempel nhấn mạnh, ngay cả khi Colt khẳng định hạ tầng mạng lõi vẫn an toàn, thì việc gián đoạn dịch vụ lưu trữ, chuyển mạch và API cũng làm suy giảm niềm tin khách hàng và gây ảnh hưởng dây chuyền đến hoạt động kinh doanh.

Bà Hempel cho rằng các doanh nghiệp cần cải thiện tốc độ vá lỗi, để những lỗ hổng nghiêm trọng như SharePoint RCE phải được xử lý trong vòng vài giờ thay vì vài tuần.

“Đối với các nhà cung cấp hạ tầng trọng yếu, quy trình vá lỗi RCE cho các dịch vụ hướng internet cần được ưu tiên và tự động hóa bất cứ khi nào có thể,” bà nói.

“Nói ngắn gọn, trong những ngành có giá trị cao và yêu cầu sẵn sàng cao như viễn thông, các cam kết về an ninh mạng phải nghiêm ngặt không kém – thậm chí nghiêm ngặt hơn – các cam kết về tính sẵn sàng dịch vụ.”

Nguyễn Yến (theo Reuters)