Ảnh minh họa. CSO Online

Theo nguồn tin của CSO Online, vụ việc được phát hiện đầu tháng 8/2025, khi nhóm kỹ sư an ninh của KCNSC ghi nhận hoạt động bất thường trong hệ thống SharePoint nội bộ. Cuộc điều tra sau đó xác định tin tặc đã khai thác hai lỗ hổng bảo mật nguy hiểm - CVE-2025-53770 (giả mạo truy cập) và CVE-2025-49704 (thực thi mã từ xa). Các lỗ hổng này ảnh hưởng đến SharePoint Server 2019 và SharePoint Server Subscription Edition, cho phép kẻ tấn công chiếm quyền điều khiển máy chủ mà không cần xác thực.

Microsoft đã phát hành bản vá vào ngày 9 tháng 7 năm 2025, nhưng đến thời điểm tấn công, hệ thống của KCNSC vẫn chưa được cập nhật. Một nguồn tin am hiểu sự cố nói với CSO Online rằng cuộc tấn công diễn ra có chủ đích và “được lên kế hoạch kỹ lưỡng”, tập trung vào các máy chủ kết nối mạng nội bộ giữa các cơ sở của Bộ Năng lượng (DOE).

Mối nghi ngờ liên quan đên các nhóm tin tặc nước ngoài

Theo phân tích của Microsoft Threat Intelligence, dấu vết kỹ thuật trong mã độc và máy chủ điều khiển cho thấy mối liên hệ với Linen Typhoon, Violet Typhoon và Storm-2603, ba nhóm gián điệp mạng được cho là do chính phủ nước ngoài hậu thuẫn.

KCNSC là nhà thầu quan trọng trong chuỗi cung ứng quốc phòng, chịu trách nhiệm sản xuất hơn 80% linh kiện phi hạt nhân cho kho vũ khí chiến lược của Mỹ. Dù NNSA khẳng định “không có dấu hiệu cho thấy dữ liệu nhạy cảm hoặc tài liệu phân loại bị rò rỉ”, các chuyên gia cảnh báo việc xâm nhập hệ thống IT của cơ sở hạt nhân là tín hiệu đặc biệt nguy hiểm.

Ông John Hultquist, Giám đốc phân tích tình báo của Mandiant (Google Cloud), nhận định: “Ngay cả khi tin tặc chỉ truy cập được các tài liệu hành chính hoặc sơ đồ vận hành phi mật, chúng vẫn có thể khai thác thông tin đó để lập mô hình hoạt động, xác định điểm yếu trong chuỗi cung ứng hoặc lập kế hoạch cho những tấn công tiếp theo.”

Theo Adam Meyers, Phó Chủ tịch phụ trách tình báo của CrowdStrike, "Các cơ sở quốc phòng thường nghĩ rằng mạng công nghiệp (OT) của họ an toàn nhờ cách ly vật lý, nhưng thực tế ranh giới giữa IT và OT đang mờ dần. Một điểm yếu trong hệ thống văn phòng cũng có thể trở thành cửa ngõ dẫn tới dây chuyền sản xuất.”

Giới chuyên gia lo ngại việc các nhóm APT nước ngoài có thể tiếp cận môi trường hạt nhân, dù gián tiếp sẽ buộc chính phủ Mỹ phải đánh giá lại toàn bộ mô hình phòng thủ mạng trong lĩnh vực quốc phòng, đặc biệt khi các chuỗi cung ứng giữa dân sự và quân sự ngày càng gắn kết chặt chẽ.

Lỗ hổng hạ tầng mạng và nguy cơ lan sang hệ thống công nghiệp

Theo báo cáo kỹ thuật, hệ thống bị khai thác thuộc mạng IT dùng cho quản trị tài liệu, song KCNSC cũng vận hành nhiều mạng OT/ICS (Industrial Control System) điều khiển thiết bị robot và dây chuyền sản xuất. Việc hai môi trường này có kết nối gián tiếp thông qua máy chủ chia sẻ dữ liệu làm tăng rủi ro tấn công lan truyền.

Chuyên gia hạ tầng công nghiệp Robert M. Lee, Giám đốc điều hành Dragos, nhận định: “Một cơ sở công nghiệp hiện đại không thể tồn tại hoàn toàn tách biệt. Mọi kết nối, dù chỉ để truyền báo cáo sản xuất đều là mắt xích tiềm ẩn rủi ro nếu không được giám sát chặt chẽ.”

Bộ Năng lượng Mỹ (DOE) xác nhận đang phối hợp với Cơ quan An ninh Hạ tầng và An ninh mạng (CISA) cùng FBI để điều tra vụ việc. Trong thông báo chính thức, DOE khẳng định “đã cô lập và xử lý các hệ thống bị ảnh hưởng”, đồng thời yêu cầu toàn bộ các đơn vị liên quan áp dụng bản vá SharePoint ngay lập tức.

Sự cố tại KCNSC diễn ra trong bối cảnh hàng loạt cơ quan và doanh nghiệp trên toàn cầu báo cáo bị tấn công qua cùng chuỗi lỗ hổng SharePoint - ước tính hơn 400 tổ chức bị ảnh hưởng kể từ tháng 7, bao gồm các cơ quan chính phủ, tập đoàn công nghiệp và trường đại học.

Theo Báo cáo rủi ro công nghiệp Mỹ 2025, 47% cơ sở hạ tầng trọng yếu vẫn sử dụng phần mềm nội bộ chưa được cập nhật định kỳ; 1/3 trong số đó không có quy trình kiểm tra bảo mật tự động. Với các hệ thống có vai trò chiến lược như năng lượng, quốc phòng hay vận tải, những lỗ hổng “thông thường” có thể trở thành điểm khởi phát cho sự cố quy mô quốc gia.

Bà Lena Smart, Giám đốc An ninh thông tin của MongoDB, nhấn mạnh: “Một cơ sở hạt nhân ngừng hoạt động chỉ vài giờ cũng đủ gây gián đoạn dây chuyền quốc phòng. Đừng quên rằng trong môi trường này, mỗi bản vá chậm trễ không chỉ là rủi ro kỹ thuật mà là rủi ro an ninh quốc gia.”

Sự cố tại Kansas City National Security Campus một lần nữa nhấn mạnh ranh giới mong manh giữa bảo mật CNTT và an toàn công nghiệp. Khi hạ tầng trọng yếu ngày càng phụ thuộc vào các nền tảng thương mại như SharePoint, việc quản lý lỗ hổng, giám sát liên tục và đầu tư cho nhân lực an ninh mạng không còn là lựa chọn ưu tiên mà là điều kiện sống còn để bảo vệ năng lực răn đe chiến lược của quốc gia.

An Lâm (Theo CSO Online)