Ảnh minh họa. Security Week

Eurofiber France là chi nhánh của Eurofiber - tập đoàn hạ tầng số châu Âu chuyên cung cấp mạng cáp quang, dịch vụ kết nối và điện toán đám mây cho doanh nghiệp. Tại Pháp, Eurofiber sở hữu các thương hiệu như Eurafibre, ATE, FullSave và vận hành mạng quang hàng nghìn km cùng hệ thống trung tâm dữ liệu phục vụ khách hàng doanh nghiệp và cơ quan công quyền.

Tin tặc tấn công qua lỗ hổng nền tảng ticketing và cổng ATE

Theo Eurofiber, lỗ hổng xuất phát từ nền tảng quản lý vé (ticket) được sử dụng bởi Eurofiber France và các thương hiệu khu vực gồm Eurafibre, FullSave, Netiwan và Avelia. Hackers đã lợi dụng lỗ hổng này truy cập trái phép vào hệ thống và trích xuất dữ liệu mà không cần bất kỳ bước xác thực nào. Công ty không công bố cụ thể lỗ hổng thuộc loại gì, cấu trúc của nền tảng đã vô tình tạo điều kiện để tin tặc vượt qua các cơ chế kiểm soát bảo mật thông thường.

Cổng khách hàng của ATE, thuộc mảng điện toán đám mây (Eurofiber Cloud Infra France), cũng bị xâm nhập.

Theo thông báo từ công ty, sự cố chỉ giới hạn trong phạm vi Eurofiber France, không lan sang các công ty Eurofiber tại Bỉ, Đức hay Hà Lan.

Dù không công bố chi tiết, Eurofiber cho biết vụ tấn công đã khiến dữ liệu khách hàng bị đánh cắp. Công ty khẳng định thông tin ngân hàng và các dữ liệu cực kỳ nhạy cảm vẫn an toàn, do được lưu trữ tách biệt khỏi hệ thống bị khai thác.

Tuy nhiên, các chuyên gia an ninh mạng độc lập cho biết lượng dữ liệu bị lộ rất lớn, có thể bao gồm: tin nhắn và ticket nội bộ, mã API, token truy cập, cấu hình mạng riêng ảo VPN, cặp mã hóa kết nối máy chủ SSH key, Khóa API và mã thông báo truy cập đám mây, Sao lưu SQL  chứa dữ liệu cấu hình, Mã nguồn và tập lệnh nội bộ, Vé cùng tệp đính kèm và tin nhắn nội bộ, Ảnh quét ID, ảnh chụp màn hình và tài liệu cùng khoảng 10.000 mật khẩu dạng hash thu thập trong thời gian kéo dài nhiều ngày.

Một số báo cáo cho rằng hacker đã triển khai tấn công SQL injection vào công cụ quản lý và hỗ trợ GLPI, được Eurofiber sử dụng làm hệ thống quản lý dịch vụ CNTT (ITSM). Quy mô ảnh hưởng có thể liên quan tới hơn 3.600 tổ chức, trong đó có các tên tuổi lớn như Airbus và Thales.

Công ty thực hiện các biện pháp khẩn cấp, không gián đoạn dịch vụ

Ngay khi phát hiện dấu hiệu xâm nhập, đội ngũ an ninh của Eurofiber đã: vá lỗ hổng trong vài giờ đầu, tăng cường bảo vệ cho nền tảng ticketing và cổng ATE, triển khai xác thực mạnh hơn, cải thiện hệ thống log để theo dõi hành vi bất thường, phân đoạn mạng để ngăn tin tặc di chuyển ngang trong hạ tầng.

Eurofiber cũng phối hợp với chuyên gia an ninh mạng bên ngoài nhằm cô lập hoàn toàn tác động của vụ tấn công. Công ty cho biết không có gián đoạn dịch vụ, khách hàng vẫn sử dụng hệ thống bình thường trong suốt sự cố.

Tuân thủ các quy định GDPR, Eurofiber France đã nộp báo cáo sự cố cho - cơ quan bảo vệ dữ liệu của Pháp (CNIL) và cơ quan an ninh mạng quốc gia (ANSSI). Đặc biệt, công ty nộp đơn tố cáo tống tiền, cho thấy khả năng hacker đã đe dọa công bố hoặc lạm dụng dữ liệu để đòi tiền chuộc.

Eurofiber cho biết sẽ tiếp tục cập nhật tình hình cho khách hàng và duy trì hợp tác với cơ quan chức năng cho tới khi sự cố được xử lý triệt để.

Cảnh báo chuỗi cung ứng số và bài học cho doanh nghiệp

Sự cố tấn công mạng vào Eurofiber cho thấy các tập đoàn công nghiệp đang trở thành mục tiêu trọng tâm của hackers, thông quan những lỗ hổng của các hệ thống nội bộ như hệ thống quản lý dịch vụ công nghệ thông tin ITSM hay ticketing – những nền tảng ít được chú ý nhưng có quyền truy cập sâu vào hạ tầng.

Các chuyên gia khuyến nghị doanh nghiệp cần thường xuyên kiểm tra, giám sát và kịp thời vá lỗ hổng phần mềm, đặc biệt với hệ thống quản trị nội bộ; áp dụng xác thực đa tầng (MFA) và phân quyền chặt chẽ; phân đoạn mạng để hạn chế thiệt hại nếu bị xâm nhập;  lập tức thay đổi nhanh các tài khoản quản trị, API key, token, SSH key nếu đối tác hoặc nhà cung cấp dịch vụ bị tấn công.

An Lâm (Theo Cyber Security News)