Một tập đoàn an ninh mạng hàng đầu đã xác nhận sa thải một nhân viên nội bộ vì hành vi cung cấp chi tiết hệ thống nhạy cảm cho một nhóm hacker khét tiếng. Vụ việc này một lần nữa nhấn mạnh sự nghiêm trọng của mối đe dọa nội gián trong môi trường công nghệ cao ngày nay.

Phân Tích Chi Tiết Vụ Việc Rò Rỉ Thông Tin Nội Bộ Tại CrowdStrike

Sự cố được phát hiện khi nhóm “Scattered Lapsus$ Hunters” công bố ảnh chụp màn hình nội bộ trên kênh Telegram công khai của chúng. Nhóm này tự xưng là một “siêu nhóm” bao gồm các thành viên từ Scattered Spider, LAPSUS$ và ShinyHunters.

Các hình ảnh này, được TechCrunch xác minh, hiển thị bảng điều khiển nội bộ quan trọng. Chúng bao gồm cả bảng điều khiển Okta Single Sign-On (SSO) mà nhân viên sử dụng để truy cập các ứng dụng doanh nghiệp. Điều này cho thấy mức độ nhạy cảm của thông tin bị rò rỉ.

Ban đầu, các hacker tuyên bố rằng những hình ảnh này là bằng chứng về một sự xâm nhập rộng hơn. Họ cho rằng việc này đạt được thông qua một vi phạm từ bên thứ ba tại Gainsight, một nền tảng quản lý thành công khách hàng được nhiều khách hàng của Salesforce sử dụng.

Tuy nhiên, CrowdStrike đã nhanh chóng điều tra và đưa ra những làm rõ cần thiết. Thực tế cho thấy vụ việc không phải là một vi phạm kỹ thuật phức tạp mà là một hành vi do con người gây ra. Báo cáo chỉ ra rằng nhóm hacker đã đề nghị nhân viên nội bộ 25.000 USD để đổi lấy quyền truy cập mạng và thông tin.

Chiến Thuật Tấn Công Mạng Của Scattered Lapsus$ Hunters: Chiêu Mộ Nội Gián và Social Engineering

Nhóm Scattered Lapsus$ Hunters được biết đến với chiến thuật tấn công cụ thể và hiệu quả. Chúng thường sử dụng kỹ thuật social engineering với áp lực cao để thao túng. Mục tiêu chính là chiêu mộ các nhân viên nội bộ để vượt qua các lớp phòng thủ an ninh mạng bên ngoài.

Đây là một chiến thuật ngày càng phổ biến và đáng lo ngại trong bối cảnh an ninh mạng năm 2025. Mặc dù các hacker tuyên bố đã nhận được các authentication cookies, CrowdStrike khẳng định trung tâm điều hành an ninh (SOC) của họ đã phát hiện hoạt động đáng ngờ này.

Việc phát hiện kịp thời diễn ra trước khi bất kỳ quyền truy cập độc hại nào có thể được thiết lập hoàn toàn. Điều này cho thấy hiệu quả của các cơ chế giám sát và phản ứng của CrowdStrike.

Người phát ngôn của CrowdStrike đã xác nhận: “Chúng tôi đã xác định và sa thải một nhân viên nội gián đáng ngờ vào tháng trước. Cuộc điều tra nội bộ đã xác định rằng người này đã chia sẻ hình ảnh màn hình máy tính của mình ra bên ngoài một cách trái phép.”

Họ cũng nhấn mạnh thêm: “Hệ thống của chúng tôi không bao giờ bị xâm phạm, và khách hàng vẫn được bảo vệ hoàn toàn trong suốt quá trình. Chúng tôi đã chuyển vụ việc cho các cơ quan thực thi pháp luật có liên quan để xử lý theo quy định.”

Vụ việc này là một phần của chiến dịch lớn hơn, đầy hung hãn của Scattered Lapsus$ Hunters. Chúng gần đây đã nhắm mục tiêu vào các tập đoàn lớn bằng cách khai thác các nhà cung cấp bên thứ ba như Gainsight và Salesloft, đây là một điểm yếu phổ biến.

Vào tháng 10 năm 2025, nhóm này thậm chí còn tuyên bố đã đánh cắp gần 1 tỷ bản ghi dữ liệu từ khách hàng của Salesforce. Các nạn nhân lớn bao gồm Allianz Life, Qantas và Stellantis, được liệt kê trên trang web rò rỉ dữ liệu của chúng.

Sự kết hợp giữa social engineering tinh vi và nguồn lực chung của ba nhóm tội phạm mạng lớn thể hiện sự tiến hóa đáng kể của bối cảnh mối đe dọa mạng mà các doanh nghiệp công nghệ phải đối mặt ngày nay. Đây là một thách thức lớn đối với an ninh mạng toàn cầu.

Quản Lý và Giảm Thiểu Mối Đe Dọa Nội Gián Trong Doanh Nghiệp

Mặc dù CrowdStrike đã thành công trong việc ngăn chặn mối đe dọa nội gián cụ thể này mà không ảnh hưởng đến khách hàng, sự kiện này nêu bật nguy hiểm dai dẳng từ các nhân viên bị mua chuộc. Đặc biệt là trong các môi trường an ninh mạng có tính rủi ro cao.

Các tổ chức cần áp dụng các biện pháp bảo vệ toàn diện, đa lớp để đối phó với những rủi ro này. Việc chỉ dựa vào các biện pháp kỹ thuật không đủ để bảo vệ chống lại các tác nhân nội bộ có động cơ.

Các Biện Pháp Bảo Mật Chủ Động Phòng Ngừa

• Giám sát hành vi người dùng (UEBA): Triển khai các hệ thống giám sát hành vi người dùng và thực thể để phát hiện các hoạt động bất thường. Điều này bao gồm việc truy cập tài nguyên không cần thiết, cố gắng chia sẻ dữ liệu nhạy cảm, hoặc thay đổi lịch sử truy cập.
• Kiểm soát quyền truy cập chặt chẽ: Áp dụng nguyên tắc đặc quyền tối thiểu (least privilege) và phân quyền dựa trên vai trò (role-based access control). Đảm bảo nhân viên chỉ có quyền truy cập vào các tài nguyên cần thiết tuyệt đối cho công việc của họ.
• Đào tạo nhận thức bảo mật liên tục: Thường xuyên đào tạo nhân viên về các rủi ro của social engineering và cách nhận biết các nỗ lực mua chuộc hoặc lừa đảo. Nhấn mạnh tầm quan trọng của việc báo cáo các sự cố đáng ngờ mà không sợ bị trả đũa.
• Chính sách bảo mật rõ ràng và thực thi: Xây dựng và thực thi các chính sách rõ ràng về việc xử lý thông tin nhạy cảm, bao gồm việc cấm chia sẻ ảnh chụp màn hình hoặc dữ liệu nội bộ ra bên ngoài mà không có sự cho phép.
• Kiểm soát các điểm cuối (Endpoint Security): Triển khai các giải pháp bảo mật điểm cuối mạnh mẽ với khả năng ngăn chặn mất dữ liệu (DLP). Điều này giúp ngăn chặn việc sao chép hoặc truyền tải dữ liệu trái phép từ các thiết bị đầu cuối.
• Đánh giá và quản lý rủi ro nhà cung cấp bên thứ ba: Đánh giá định kỳ các nhà cung cấp bên thứ ba và đảm bảo họ tuân thủ các tiêu chuẩn bảo mật nghiêm ngặt. Đây là điểm yếu thường bị các nhóm hacker như Scattered Lapsus$ Hunters khai thác trong các tấn công mạng quy mô lớn.

Hành Động Khi Phát Hiện Rò Rỉ Dữ Liệu Do Nội Gián

Khi một rò rỉ dữ liệu hoặc hành vi nội gián bị phát hiện, việc phản ứng nhanh chóng và có tổ chức là cực kỳ quan trọng để giảm thiểu thiệt hại:

• Cách ly ngay lập tức: Ngắt quyền truy cập của cá nhân hoặc tài khoản bị nghi ngờ ngay lập tức. Điều này giúp hạn chế tối đa thiệt hại tiềm ẩn và ngăn chặn việc tiếp tục rò rỉ.
• Điều tra toàn diện: Tiến hành điều tra kỹ lưỡng để xác định phạm vi chính xác của vụ việc, dữ liệu nào đã bị ảnh hưởng và phương thức mà kẻ tấn công sử dụng để tiếp cận nội gián.
• Thông báo cho cơ quan chức năng: Báo cáo vụ việc cho các cơ quan thực thi pháp luật liên quan, như CrowdStrike đã làm, để hỗ trợ điều tra và truy tố tội phạm.
• Đánh giá và cải thiện liên tục: Rút kinh nghiệm từ sự cố để củng cố các biện pháp bảo mật hiện có. Cập nhật chính sách và quy trình để ngăn chặn các sự cố tương tự trong tương lai, nâng cao khả năng phòng thủ chống lại mối đe dọa nội gián.

Các tổ chức có thể tham khảo thêm hướng dẫn chi tiết về giảm thiểu mối đe dọa nội gián từ các nguồn đáng tin cậy như CISA. Hướng dẫn Giảm thiểu Mối đe dọa Nội gián của CISA cung cấp các phương pháp hay nhất và khung bảo mật để bảo vệ thông tin nhạy cảm của doanh nghiệp.