Vụ việc được công bố trong các thông báo vi phạm gửi đến tổng chưởng lý các bang vào tuần trước. Theo các nhà nghiên cứu an ninh mạng, vụ tấn công là một phần của chiến dịch tấn công quy mô lớn nhằm vào hơn 100 tổ chức trên toàn thế giới. Nhóm tấn công đã khai thác một lỗ hổng chưa từng được biết đến trong Oracle E-Business Suite - phần mềm quản trị doanh nghiệp mà Dartmouth cùng hàng nghìn tổ chức khác sử dụng để quản lý từ nhân sự, lương đến mua sắm.

Nhóm ransomware Cl0p đã lên tiếng nhận trách nhiệm về chiến dịch này trên trang rò rỉ dữ liệu trong dark web của chúng, đồng thời đăng tải dữ liệu đã được đánh cắp của nhiều nạn nhân, trong đó có Dartmouth. CrowdStrike và Nhóm Tình báo Đe doạ của Google đều độc lập xác nhận chiến dịch này do Cl0p thực hiện, lưu ý sự trùng lặp về hạ tầng và chiến thuật từng được liên kết với nhóm.

Dartmouth xác nhận rò rỉ dữ liệu nghiêm trọng liên quan đến lỗ hổng Oracle, ảnh hưởng hơn 40.000 người. Ảnh minh hoạ.

Rủi ro chuỗi cung ứng: Nạn nhân "không làm gì sai"

Đối với những nạn nhân nhận được thư thông báo trong tháng này, vụ vi phạm này đại diện cho một ví dụ điển hình về rủi ro chuỗi cung ứng:  Dartmouth không làm gì sai. Không có nhân viên nào nhấp vào liên kết độc hại. Không mật khẩu nào bị đoán trúng. Hệ thống nội bộ của trường cũng không bị xâm nhập trực tiếp. Thay vào đó, tin tặc tìm thấy một lỗ hổng ẩn trong phần mềm mà trường đang tin dùng và lợi dụng nó để đánh cắp những tệp chứa thông tin nhạy cảm nhất.

Theo hồ sơ gửi cơ quan chức năng các bang, vụ rò rỉ ảnh hưởng đến 31.742 cư dân New Hampshire và 12.701 cư dân Vermont. Dartmouth cũng đã nộp thông báo vi phạm tại Maine, California và Texas, cho thấy tổng số nạn nhân vượt quá 44.000 người, dù trường chưa công bố con số tổng hợp toàn diện. Dữ liệu bị đánh cắp bao gồm tên kèm số An sinh Xã hội và, trong một số trường hợp còn kèm cả thông tin tài khoản ngân hàng.

“Từ ngày 9 đến 12 tháng 8, một lượng lớn dữ liệu chứa tên, số An sinh Xã hội và có thể cả số tài khoản ngân hàng đã bị tiết lộ,” Tổng chưởng lý Vermont Charity Clark cho biết với WCAX.

Tấn công Zero-Day và phản ứng chậm trễ của Oracle 

Tin tặc đã ra tay từ ngày 9 đến 12/8, tức vài tuần trước khi Oracle biết lỗ hổng tồn tại. Các nhà nghiên cứu của Google xác nhận Cl0p đã khai thác lỗ hổng được gán mã CVE-2025-61882 như một zero-day từ đầu tháng 8, sau các dấu hiệu do thám xuất hiện từ tháng 7. Lỗ hổng này có điểm CVSS 9,8/10 - mức nghiêm trọng gần như cao nhất.

Oracle không phát hành bản vá cho đến 4/10, gần hai tháng sau khi các cuộc tấn công bắt đầu. Khi đó, thiệt hại đã xảy ra.

Brett Leatherman, Trợ lý Giám đốc FBI, gọi đây là lỗ hổng kiểu “phải dừng mọi việc và vá ngay lập tức” trong một bài đăng trên LinkedIn kêu gọi các tổ chức hành động khẩn cấp. Cơ quan An ninh mạng và Hạ tầng Mỹ (CISA) đã thêm lỗ hổng này vào danh mục lỗ hổng đang bị khai thác vào ngày 6/10, bắt buộc các cơ quan liên bang phải vá lỗi trong vòng vài ngày.

Dartmouth không phải là trường danh tiếng duy nhất bị ảnh hưởng. Harvard xác nhận vào tháng 10 rằng tin tặc đã truy cập dữ liệu của “một đơn vị hành chính nhỏ” thông qua chính lỗ hổng Oracle này. Đại học Pennsylvania cũng công bố một vụ rò rỉ tương tự tuần trước, ảnh hưởng ít nhất 1.488 người. Cl0p còn tuyên bố tấn công The Washington Post, Logitech và công ty con của American Airlines là Envoy Air, đăng dữ liệu bị đánh cắp lên trang rò rỉ và cho phép tải xuống qua torrent.

Chiến lược nhất quán của Cl0p

Chiến dịch Oracle của Cl0p là sự tiếp nối của chiến thuật quen thuộc. Năm 2023, nhóm này đã khai thác lỗ hổng zero-day trong công cụ truyền tệp MOVEit của Progress Software, khiến hơn 2.000 tổ chức và hàng chục triệu cá nhân bị ảnh hưởng. Coveware ước tính Cl0p kiếm được khoảng 75 triệu USD chỉ từ chiến dịch MOVEit.

Chiến lược của nhóm nhất quán: xác định phần mềm doanh nghiệp được sử dụng rộng rãi, tìm hoặc mua khai thác zero-day, rồi tấn công hàng loạt trước khi bản vá xuất hiện. 

Các nhà nghiên cứu tại Cybereason mô tả phương thức của Cl0p: “CL0P thường tiến hành trinh sát rộng rãi, phát triển mã tùy biến, kết hợp khai thác các lỗ hổng CVE và điều phối tấn công hàng loạt theo chu kỳ nhanh, lặp lại và đôi khi song song.”

Điều khiến các cuộc tấn công zero-day khó phòng thủ là các tổ chức hoàn toàn không có cảnh báo trước. Những biện pháp bảo mật truyền thống như tường lửa, phần mềm diệt virus hay đào tạo nhân viên đều không thể ngăn chặn việc khai thác một lỗ hổng chưa được phát hiện. Lỗ hổng nằm trong mã của Oracle. Dartmouth chỉ đơn giản là đang chạy phần mềm theo thiết kế.

“Vụ việc không phải do bất kỳ cuộc tấn công lừa đảo nào nhằm vào thành viên Dartmouth hay từ hành động hay thiếu sót của trường,” người phát ngôn Jana Barnello cho biết.

Tổng chưởng lý Vermont Charity Clark nói vụ việc cần thúc đẩy hành động lập pháp. “Cơ quan Lập pháp của chúng tôi ở Vermont đã có nhiều cơ hội để thông qua một luật bảo mật dữ liệu toàn diện, luật này hy vọng sẽ giảm số lượng các vụ rò rỉ dữ liệu mà chúng ta thấy và giảm thiểu tác hại có thể xảy ra nếu có rò rỉ dữ liệu”, bà nói. “Đó mới là điểm chúng ta cần tập trung”.

Dartmouth cho biết họ đã áp dụng mọi bản vá của Oracle và mở đường dây hỗ trợ riêng cho những người bị ảnh hưởng. Trường cũng cung cấp một năm dịch vụ giám sát danh tính miễn phí qua Experian IdentityWorks cho những ai bị lộ số An sinh Xã hội. Đăng ký phải hoàn tất trước ngày 28/2/2026.

Những người nhận thư thông báo được khuyến nghị thực hiện ngay các bước sau: đăng ký dịch vụ giám sát, thiết lập cảnh báo gian lận hoặc khóa tín dụng tại ba hãng báo cáo tín dụng lớn và theo dõi chặt chẽ sao kê tài chính trong 12 - 24 tháng tới. Số An sinh Xã hội không bao giờ hết hạn, một khi bị đánh cắp, chúng luôn có giá trị với tội phạm.

Câu hỏi lớn hơn là: Làm thế nào các tổ chức có thể tự bảo vệ khi phần mềm họ phụ thuộc lại chứa lỗ hổng chưa ai phát hiện? Câu trả lời, dù khó chấp nhận, chính là không có biện pháp bảo vệ tuyệt đối. Điều quan trọng là tốc độ vá lỗi khi lỗ hổng được công bố, khả năng giám sát phát hiện xâm nhập và sự minh bạch trong giao tiếp với nạn nhân khi có vi phạm xảy ra.

Lệ Thanh (theo Forbes)