404 Not Found
Writer
Red Hat xác nhận một vụ tấn công mạng quy mô lớn đã xảy ra, làm rò rỉ dữ liệu nhạy cảm của hơn 5.000 khách hàng doanh nghiệp trên toàn cầu. Sự cố được cho là do nhóm tống tiền Crimson Collective thực hiện, làm dấy lên lo ngại về an toàn của các tài liệu tư vấn, mã nguồn và chứng chỉ bảo mật liên quan đến nhiều tập đoàn lớn như Vodafone, HSBC, American Express và Walmart.
Theo Red Hat, cuộc tấn công nhắm trực tiếp vào hạ tầng của bộ phận Red Hat Consulting. Trên kênh Telegram, nhóm Crimson Collective tuyên bố đã đánh cắp hơn 32 triệu tệp tin trong hơn 370.000 thư mục, bao gồm các báo cáo tư vấn doanh nghiệp (CER), mã nguồn độc quyền và nhiều chứng chỉ số quan trọng.
Các nhà nghiên cứu an ninh nhận thấy nhiều điểm tương đồng giữa vụ tấn công này và các chiến dịch trước đây của nhóm LAPSUS$. Nhà nghiên cứu bảo mật Kevin Beaumont cho biết những dấu hiệu kỹ thuật và hành vi được ghi nhận, như cấu trúc tệp, cách đặt tên và phong cách bình luận trong mã HTML, đều trùng khớp với phương thức mà LAPSUS$ từng sử dụng.
Đáng chú ý, tài khoản Telegram có tên “Miku” được nhóm Crimson Collective sử dụng được cho là trùng với danh tính của Thalha Jubair, một thiếu niên người Anh từng bị truy tố vì liên quan đến vụ tấn công mạng nhằm vào hệ thống giao thông London. Theo điều tra, vụ xâm nhập vào Red Hat xảy ra vào ngày 13 tháng 9 năm 2025, trước thời điểm Jubair bị bắt, đặt ra nhiều nghi vấn về mức độ phối hợp trong hoạt động của nhóm.
Red Hat được niêm yết trên LAPSUS$ Hunters PortalPhân tích kỹ thuật cho thấy trong dữ liệu bị đánh cắp có nhiều tệp chứng chỉ định dạng .pfx thuộc về các tổ chức tài chính và hàng không. Những tệp này chứa khóa riêng tư, nếu bị lộ, có thể bị lợi dụng để thực hiện các cuộc tấn công trung gian, giả mạo tên miền hoặc truy cập trái phép vào hệ thống.
Danh sách nạn nhân bị ảnh hưởng trải rộng trên nhiều lĩnh vực trọng yếu như tài chính, y tế, viễn thông và vận tải. Trong số mẫu dữ liệu mà nhóm tin tặc công bố, có tài liệu của Tập đoàn Atos (đơn vị quản lý hệ thống NHS Scotland), Ngân hàng Trung Quốc, Hãng hàng không Delta và Ngân hàng ING.
Dữ liệu của Delta Airlines và Ngân hàng ING được công bốVới vai trò là đơn vị tư vấn hệ thống cho nhiều doanh nghiệp lớn, Red Hat Consulting nắm giữ các tài liệu kỹ thuật quan trọng như cấu trúc mạng, thông tin xác thực, khóa API và chi tiết triển khai hệ thống. Việc các thông tin này bị rò rỉ có thể tạo điều kiện cho những cuộc tấn công dây chuyền nhằm vào khách hàng của Red Hat.
Các chuyên gia khuyến nghị các tổ chức liên quan cần khẩn trương thay thế chứng chỉ, cập nhật thông tin đăng nhập và tiến hành đánh giá bảo mật toàn diện. Họ cảnh báo rằng các dữ liệu bị đánh cắp nhiều khả năng sẽ sớm được lan truyền trong các diễn đàn tội phạm mạng trước khi bị công bố rộng rãi.
Sự cố này một lần nữa cho thấy mức độ tinh vi ngày càng tăng của các cuộc tấn công chuỗi cung ứng, đặc biệt là với các công ty tư vấn và nhà cung cấp dịch vụ có quyền truy cập sâu vào hạ tầng của nhiều doanh nghiệp cùng lúc.
Theo Red Hat, cuộc tấn công nhắm trực tiếp vào hạ tầng của bộ phận Red Hat Consulting. Trên kênh Telegram, nhóm Crimson Collective tuyên bố đã đánh cắp hơn 32 triệu tệp tin trong hơn 370.000 thư mục, bao gồm các báo cáo tư vấn doanh nghiệp (CER), mã nguồn độc quyền và nhiều chứng chỉ số quan trọng.
Các nhà nghiên cứu an ninh nhận thấy nhiều điểm tương đồng giữa vụ tấn công này và các chiến dịch trước đây của nhóm LAPSUS$. Nhà nghiên cứu bảo mật Kevin Beaumont cho biết những dấu hiệu kỹ thuật và hành vi được ghi nhận, như cấu trúc tệp, cách đặt tên và phong cách bình luận trong mã HTML, đều trùng khớp với phương thức mà LAPSUS$ từng sử dụng.
Đáng chú ý, tài khoản Telegram có tên “Miku” được nhóm Crimson Collective sử dụng được cho là trùng với danh tính của Thalha Jubair, một thiếu niên người Anh từng bị truy tố vì liên quan đến vụ tấn công mạng nhằm vào hệ thống giao thông London. Theo điều tra, vụ xâm nhập vào Red Hat xảy ra vào ngày 13 tháng 9 năm 2025, trước thời điểm Jubair bị bắt, đặt ra nhiều nghi vấn về mức độ phối hợp trong hoạt động của nhóm.
Red Hat được niêm yết trên LAPSUS$ Hunters Portal
Danh sách nạn nhân bị ảnh hưởng trải rộng trên nhiều lĩnh vực trọng yếu như tài chính, y tế, viễn thông và vận tải. Trong số mẫu dữ liệu mà nhóm tin tặc công bố, có tài liệu của Tập đoàn Atos (đơn vị quản lý hệ thống NHS Scotland), Ngân hàng Trung Quốc, Hãng hàng không Delta và Ngân hàng ING.
Dữ liệu của Delta Airlines và Ngân hàng ING được công bố
Các chuyên gia khuyến nghị các tổ chức liên quan cần khẩn trương thay thế chứng chỉ, cập nhật thông tin đăng nhập và tiến hành đánh giá bảo mật toàn diện. Họ cảnh báo rằng các dữ liệu bị đánh cắp nhiều khả năng sẽ sớm được lan truyền trong các diễn đàn tội phạm mạng trước khi bị công bố rộng rãi.
Sự cố này một lần nữa cho thấy mức độ tinh vi ngày càng tăng của các cuộc tấn công chuỗi cung ứng, đặc biệt là với các công ty tư vấn và nhà cung cấp dịch vụ có quyền truy cập sâu vào hạ tầng của nhiều doanh nghiệp cùng lúc.
WhiteHat
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview