Ảnh minh họa. Internet

Hình ảnh nội bộ rò rỉ từ nhân viên kỹ thuật, tin tặc không xâm nhập hệ thống

Sự cố được phát hiện từ tối ngày 20 đến sáng 21/11, khi trên kênh Telegram của nhóm “Scattered Lapsus$ Hunters” xuất hiện loạt ảnh chụp được cho là từ môi trường nội bộ của CrowdStrike. Nhóm tin tặc là “siêu liên minh” gồm những thành viên từ các nhóm hackers nổi tiếng Scattered Spider, LAPSUS$ và ShinyHunters.

Theo trang Cybersecurity News, các ảnh rò rỉ cho thấy bảng điều khiển nội bộ, bao gồm giao diện Okta SSO – hệ thống đăng nhập dùng cho nhân viên. Nhóm tin tặc tuyên bố đây là bằng chứng cho thấy, hackers đã xâm nhập hệ thống thông qua Gainsight, nền tảng được nhiều doanh nghiệp dùng để sử dụng dịch vụ của Salesforce, Công ty phần mềm đám mây Mỹ, nhà cung cấp nền tảng Quản lý Quan hệ Khách hàng (CRM) AI hàng đầu thế giới.

CrowdStrike cho biết tuyên bố của tin tặc là "sai sự thật" và cho biết đã sa thải nhân viên kỹ thuật này sau khi công ty "xác định anh ta đã chia sẻ hình ảnh màn hình máy tính của mình ra bên ngoài".

“Tháng trước, chúng tôi đã xác định và sa thải một người dùng nội bộ đáng ngờ sau cuộc điều tra nội bộ, xác định rằng anh ta đã chia sẻ ảnh chụp màn hình máy tính của mình ra bên ngoài. Hệ thống của chúng tôi chưa bao giờ bị xâm phạm, và khách hàng vẫn được bảo vệ trong suốt quá trình. Chúng tôi đã chuyển vụ việc cho các cơ quan thực thi pháp luật có liên quan." Kevin Benacci, phát ngôn viên của CrowdStrike nói với Cybersecurity News.

Các thông tin điều tra cho thấy đây không phải vụ tấn công kỹ thuật mà xuất phát từ yếu tố con người: nhóm tấn công được cho là đã trả 25.000 USD để thuyết phục nhân viên nội bộ cung cấp hình ảnh, tạo điều kiện cho truy cập vào mạng.

Mặc dù tin tặc nói đã thu thập được cookie xác thực, CrowdStrike cho biết trung tâm điều hành an ninh mạng đã phát hiện bất thường trước khi xảy ra hành vi truy cập trái phép và ngăn chặn kịp thời.

Liên minh Scattered Lapsus$ tăng cường tuyển nội gián, nhắm vào chuỗi cung ứng công nghệ

Sự cố lần này nằm trong chiến dịch leo thang của Scattered Lapsus$ Hunters, nhóm chuyên khai thác lỗ hổng từ các nhà cung cấp bên thứ ba như Gainsight và Salesloft.

Tháng 10/2025, nhóm này từng tuyên bố đã đánh cắp gần 1 tỷ bản ghi từ khách hàng của Salesforce, liệt kê Allianz Life, Qantas và Stellantis trong danh sách nạn nhân.

Chiến thuật của nhóm tập trung vào tấn công chuỗi cung ứng, lừa đảo xã hội và tuyển dụng nội gián để vượt qua lớp phòng thủ, xu hướng đang tăng mạnh trong năm 2025.

Dù CrowdStrike đã kiểm soát được sự cố trước khi tin tặc có thể tấn công, vụ việc tiếp tục cho thấy mức độ nguy hiểm của các nhân viên “nội gián” trong môi trường an ninh mạng nhạy cảm, khi nhóm tội phạm có thể sử dụng hình thức mua chuộc để tạo lỗ hổng bảo mật trong hệ thống của các tổ chức, doanh nghiệp.

An Lâm (Theo Cybersecurity News)