Ảnh minh họa. Getty Images

Rò rỉ xuất phát từ điểm truy cập của nhà thầu

Sự cố được phát hiện ngày 16/11, với thông tin cho thấy nhiều tài liệu nhạy cảm đã bị rò rỉ, gồm mã nguồn, tệp cấu hình, cơ sở dữ liệu SQL, thông tin đăng nhập được mã hóa cứng “hardcode” và thông tin máy chủ SMTP - những yếu tố có thể ảnh hưởng trực tiếp đến hoạt động phát triển phần mềm và hệ thống liên lạc nội bộ của tập đoàn.

Dữ liệu được công bố qua nền tảng theo dõi các hoạt động trên dark web ThreatMon. Nhóm “888” đưa ra các mẫu tin để chứng minh nguồn gốc. Theo mô tả của nhóm hackers, tập dữ liệu này xuất phát từ điểm truy cập của một nhà thầu bên thứ ba, cho thấy tin tặc đã xâm nhập qua lỗ hổng bảo mật của chuỗi cung ứng, chứ không tấn công trực tiếp vào hệ thống nội bộ LG.

Giới phân tích cảnh báo việc nhúng tài khoản hardcode (giá trị cố định) vào mã nguồn “cho tiện sử dụng” là rủi ro nghiêm trọng, có thể bị kẻ tấn công lợi dụng để giả mạo nhân sự LG, xâm nhập các dịch vụ liên kết hoặc leo thang đặc quyền.

Đáng chú ý, thông tin về máy chủ SMTP - phụ trách định tuyến email nếu bị lộ có thể dẫn tới các chiến dịch lừa đảo “phishing” hoặc thư rác “spam” giả danh thư điện tử từ LG.

“888” - nhóm tin tặc từng tấn công nhiều tập đoàn lớn

Nhóm “888” hoạt động từ ít nhất năm 2024, từng tuyên bố tấn công Microsoft, BMW Hong Kong, Decathlon và Shell, chủ yếu nhằm tống tiền hoặc bán dữ liệu trên các diễn đàn ngầm.

Chiến thuật quen thuộc của nhóm thường là: Mua quyền truy cập ban đầu từ tin tặc bán quyền truy cập ban đầu vào hệ thống  “initial access broker”; sử dụng mã độc  “malware” đánh cắp thông tin; đòi tiền chuộc hoặc bán dữ liệu thông qua giao dịch tiền mã hóa.

Hiện chưa có thông tin về yêu cầu tống tiền với LG. Tuy nhiên, các mẫu dữ liệu được đăng tải cho thấy cấu trúc tệp lớn, có khả năng chứa hàng gigabyte mã nguồn độc quyền liên quan tới thiết bị điện tử tiêu dùng và hệ sinh thái thiết bị thông minh của LG.

LG Electronics chưa đưa ra bình luận chính thức.

LG và các doanh nghiệp công nghệ Hàn Quốc thường xuyên bị tấn công

Sự cố diễn ra chỉ vài tuần sau khi LG Uplus, đơn vị viễn thông cùng tập đoàn, thừa nhận một vụ rò rỉ dữ liệu khách hàng trong tháng 10. Hàn Quốc thời gian qua cũng liên tục chứng kiến loạt vụ tấn công nhắm vào các hãng viễn thông và doanh nghiệp công nghệ.

Giới chuyên gia cho rằng chuỗi sự kiện có thể bắt nguồn từ các lỗ hổng chung như dịch vụ đám mây chưa vá, công cụ của bên thứ ba kém an toàn, hoặc quy trình bảo mật của nhà thầu chưa được kiểm soát chặt chẽ.

Việc lộ mã nguồn còn tiềm ẩn rủi ro nghiêm trọng hơn: các lỗ hổng trong thiết bị IoT của LG có thể bị lộ ra ngoài, tác động đến hàng triệu người dùng trên toàn cầu.Các chuyên gia khuyến nghị người dùng rà soát và thay đổi toàn bộ thông tin xác thực

Các công ty an ninh mạng khuyến cáo tổ chức, doanh nghiệp thường xuyên thực hiện:

Kiểm tra khả năng rò rỉ thông tin đăng nhập bằng qua các công cụ như Have I Been Pwned. Đổi toàn bộ khóa API, mật khẩu khi có nghi ngờ và tăng cường rà soát hệ thống bảo mật của nhà thầu trong chuỗi cung ứng.

Vụ xâm phạm dữ liệu này nhấn mạnh sự mong manh của chuỗi cung ứng toàn cầu, một sai sót của một nhà thầu duy nhất có thể dẫn đến toàn bộ hệ thống hạ tầng CNTT của doanh nghiệp bị tấn công. Đối với LG, việc công bố minh bạch và phục hồi nhanh chóng là yếu tố then chốt giảm thiểu hậu quả, khi các mối đe dọa an ninh mạng tiếp tục gia tăng.

An Lâm (Theo Cyber Security News)