ShinyHunters tuyên bố trộm hơn 1,5 tỉ bản ghi Salesforce từ 760 công ty

Salesforce (Mỹ) là hãng phần mềm điện toán đám mây nổi tiếng với việc cung cấp các giải pháp quản lý quan hệ khách hàng (CRM) hàng đầu thế giới. Được thành lập vào năm 1999 bởi Marc Benioff và Parker Harris, Salesforce đã tiên phong trong việc cung cấp phần mềm dưới dạng dịch vụ (SaaS) qua internet, giúp các doanh nghiệp không cần phải cài đặt và duy trì phần mềm trên máy chủ riêng.

Salesforce cung cấp nền tảng toàn diện giúp các công ty quản lý và tối ưu hóa các mối quan hệ với khách hàng trên mọi khía cạnh, từ bán hàng, dịch vụ khách hàng đến tiếp thị và thương mại điện tử.

Mã thông báo OAuth Salesloft Drift là chuỗi ký tự (token) mà nền tảng Salesloft Drift phát sinh để một ứng dụng hoặc dịch vụ khác có thể đăng nhập và truy cập vào tài khoản Salesforce mà không cần nhập trực tiếp tên người dùng lẫn mật khẩu.

Trong suốt năm qua, một số nhóm hacker đã nhắm mục tiêu vào khách hàng Salesforce bằng những cuộc tấn công đánh cắp dữ liệu, sử dụng social engineering (kỹ nghệ xã hội, hay hình thức lừa đảo dựa trên thao túng tâm lý) và các ứng dụng OAuth độc hại để xâm nhập vào các phiên bản Salesforce rồi về tải dữ liệu. Dữ liệu bị đánh cắp sau đó được dùng để tống tiền các công ty, buộc họ phải trả tiền chuộc để tránh việc dữ liệu bị phát tán.

Một số tác nhân đe dọa đã nhận trách nhiệm về những cuộc tấn công mạng này, tuyên bố chúng là một phần của nhóm tống tiền ShinyHunters, Scattered Spider và Lapsus$. Google theo dõi tác nhân đe dọa này với mã hiệu UNC6040 và UNC6395.

Tháng 3, một trong các tác nhân đe dọa đã xâm nhập kho mã GitHub của Salesloft, nơi lưu trữ mã nguồn riêng cho công ty.

GitHub là nền tảng trực tuyến cho phép lập trình viên và nhóm phát triển lưu trữ, quản lý, chia sẻ và hợp tác trên mã nguồn của phần mềm.

ShinyHunters nói với trang BC rằng các tác nhân đe dọa đã sử dụng công cụ bảo mật TruffleHog quét mã nguồn nhằm tìm kiếm bí mật, dẫn đến việc phát hiện ra các mã thông báo OAuth cho nền tảng Salesloft Drift và Drift Email.

Salesloft Drift là nền tảng của bên thứ ba, dùng để kết nối chatbot AI Drift với hệ thống Salesforce. Nhờ vậy, các tổ chức có thể đồng bộ cuộc trò chuyện, khách hàng tiềm năng và những yêu cầu hỗ trợ vào hệ thống quản lý quan hệ khách hàng của mình.

Drift Email được sử dụng để quản lý phản hồi email và tổ chức cơ sở dữ liệu quản lý quan hệ khách hàng cũng như các hệ thống tự động hóa tiếp thị.

ShinyHunters thực hiện nhiều vụ tấn công mạng đánh cắp dữ liệu quy mô lớn rồi tống tiền các công ty thời gian qua - Ảnh: Internet

Sử dụng các mã thông báo OAuth Drift đánh cắp được này, ShinyHunters cho biết đã trộm khoảng 1,5 tỉ bản ghi dữ liệu của 760 công ty từ những bảng đối tượng Salesforce gồm Account, Contact, Case, Opportunity và User. Trong số đó, khoảng 250 triệu bản ghi dữ liệu đến từ bảng Account, 579 triệu từ Contact, 171 triệu từ Opportunity, 60 triệu từ User, cùng khoảng 459 triệu bản ghi từ bảng Case của Salesforce.

Bảng Case được dùng để lưu trữ thông tin và nội dung từ các yêu cầu hỗ trợ do khách hàng của những công ty này gửi. Với các hãng công nghệ, dữ liệu đó có thể bao gồm cả thông tin nhạy cảm.

Để chứng minh mình đứng sau vụ tấn công, tác nhân đe dọa đã chia sẻ một file văn bản liệt kê các thư mục mã nguồn trong kho lưu trữ GitHub của Salesloft bị xâm phạm.

Salesloft không phản hồi, Google xác nhận các vụ tấn công

Trang BC đã liên hệ với Salesloft để hỏi về số lượng bản ghi và tổng số công ty bị ảnh hưởng, nhưng không nhận được phản hồi. Tuy nhiên, một nguồn tin đã xác nhận các con số này là chính xác.

Google Threat Intelligence Group báo cáo rằng dữ liệu Case bị đánh cắp đã được phân tích để tìm kiếm các bí mật, chẳng hạn thông tin đăng nhập, mã thông báo xác thực và khóa truy cập, cho phép hacker chuyển sang các môi trường khác để thực hiện các cuộc tấn công tiếp theo.

“Sau khi dữ liệu bị rò rỉ, tác nhân đe dọa đã tìm kiếm trong dữ liệu để phát hiện các bí mật có khả năng được sử dụng nhằm xâm phạm môi trường của nạn nhân. Google Threat Intelligence đã phát hiện UNC6395 nhắm mục tiêu vào các thông tin đăng nhập nhạy cảm như khóa truy cập Amazon Web Services (AKIA), mật khẩu và mã thông báo truy cập liên quan đến Snowflake”, Google giải thích.

Các mã thông báo Salesloft Drift và Drift Email bị đánh cắp đã được sử dụng trong một số chiến dịch trộm dữ liệu quy mô lớn nhắm vào nhiều công ty như Google, Cloudflare, Zscaler, Tenable, CyberArk, Elastic, BeyondTrust, Proofpoint, JFrog, Nutanix, Qualys, Rubrik, Cato Networks, Palo Alto Networks...

Do quy mô khổng lồ của các vụ tấn công này, FBI (Cục Điều tra Liên bang Mỹ) gần đây đã đưa ra cảnh báo về tác nhân đe dọa UNC6040 và UNC6395, đồng thời chia sẻ các IOC được phát hiện trong các cuộc tấn công.

Hôm 11.9, các tác nhân đe dọa tự xưng là thành viên của Scattered Spider tuyên bố chúng dự định "ẩn mình" và ngừng thảo luận về các hoạt động trên Telegram.

Trong một bài đăng chia tay, các tác nhân này tuyên bố đã xâm nhập hệ thống Law Enforcement Request thuộc Google (vốn được các cơ quan thực thi pháp luật sử dụng để gửi yêu cầu về dữ liệu) và nền tảng eCheck của FBI (được dùng để tiến hành kiểm tra lý lịch).

Về tuyên bố này, Google xác nhận một tài khoản giả mạo đã được thêm vào nền tảng Law Enforcement Request của họ.

“Chúng tôi xác định một tài khoản giả mạo được tạo trong hệ thống Law Enforcement Request và đã vô hiệu hóa nó. Không có yêu cầu nào được thực hiện với tài khoản giả mạo này và không có dữ liệu nào bị truy cập”, Google thông báo.

Nhóm nhà nghiên cứu từ hãng an ninh mạng ReliaQuest (Mỹ) báo cáo rằng Scattered Spider đã bắt đầu nhắm mục tiêu vào những tổ chức tài chính từ tháng 7.2025 và có khả năng sẽ tiếp tục tiến hành các cuộc tấn công.

Để bảo vệ trước những cuộc tấn công đánh cắp dữ liệu này, Salesforce khuyến nghị khách hàng tuân thủ biện pháp bảo mật tốt nhất, gồm bật xác thực đa yếu tố (MFA), áp dụng nguyên tắc đặc quyền tối thiểu và quản lý cẩn thận các ứng dụng được kết nối. Top of Form

ShinyHunters liên quan vụ rao bán dữ liệu CIC, hợp tác với Scattered Spider để mở rộng quy mô

ShinyHunters thực hiện nhiều vụ tấn công mạng đánh cắp dữ liệu quy mô lớn rồi tống tiền các công ty.

Được thành lập hồi 2020, ShinyHunters gây chú ý ngay năm đầu hoạt động khi chiếm đoạt hơn 200 triệu bản ghi của 13 công ty lớn trên thế giới. Nhóm này thường tập trung tấn công đánh cắp dữ liệu trên nền tảng đám mây hoặc ứng dụng web của nạn nhân để tống tiền.

Thay vì cố gắng che giấu dấu vết, ShinyHunters công khai lượng dữ liệu đã đánh cắp và công bố trên các diễn đàn ngầm, sau đó rao bán. Những vụ hack liên tục mà ShinyHunters thực hiện và nhận trách nhiệm tạo nên nỗi hoang mang trong cộng đồng an ninh mạng thế giới.

Cách thức quen thuộc của ShinyHunters là xâm nhập hệ thống nạn nhân qua lỗ hổng đã biết hoặc social engineering.

Gần đây, trang web DataBreaches cho biết ShinyHunters khai thác thành công một lỗ hổng N-day (còn gọi là Zero-day cũ) trong phần mềm đã hết hỗ trợ tại Trung tâm Thông tin Tín dụng Quốc gia Việt Nam (CIC), chiếm đoạt khoảng 3 tỉ bản ghi toàn hệ thống, trong đó có 160 triệu bản ghi chứa thông tin cá nhân người Việt.

Để kiếm tiền, ShinyHunters tích cực sử dụng các diễn đàn dark web (web tối) như RaidForums và BreachForums, rao bán dữ liệu đánh cắp được nhằm tăng uy tín.

Ngoài ra, ShinyHunters còn thiết lập liên kết gián tiếp với nhóm Scattered Spider để hình thành mạng lưới tội phạm mạng quốc tế. Sự hợp tác này giúp ShinyHunters mở rộng phạm vi, phối hợp trong các chiến dịch lớn và khai thác dữ liệu chiến lược hiệu quả hơn, đồng thời cho thấy các nhóm tội phạm mạng hiện nay hoạt động theo một hệ sinh thái phức tạp, khó kiểm soát.

Scattered Spider là tên được đặt không chính thức cho nhóm tội phạm mạng gồm phần lớn là nam giới trẻ tuổi, chủ yếu từ Mỹ, Anh và Tây Âu, hoạt động phân tán và phi tập trung, nổi lên từ khoảng năm 2022. Hôm 20.8 vừa, Noah Urban (thành viên 20 tuổi của Scattered Spider) bị kết án 10 năm tù ở Mỹ, liên quan đến hàng loạt vụ tấn công mạng lớn và trộm tiền mã hóa.

Các chuyên gia khác nói ShinyHunters và Scattered Spider dường như đang hoạt động đồng bộ, nhắm vào một ngành công nghiệp cùng lúc, khiến việc xác định cuộc tấn công trở nên khó khăn hơn.

Danh tính phần lớn thành viên ShinyHunters vẫn được giữ bí mật vì nhóm này hoạt động ẩn danh trên web tối và diễn đàn hacker quốc tế. Tuy nhiên, một số cuộc điều tra hé lộ ShinyHunters có liên hệ với cộng đồng hacker ở châu Á, đặc biệt là Pakistan và Indonesia. Một số chuyên gia an ninh mạng cho rằng một số thành viên ShinyHunters có thể từng tham gia các diễn đàn rao bán dữ liệu ngầm từ khu vực này.

Năm 2021, Séraphin Ranson bị bắt ở Ma Rốc, sau đó dẫn độ về Pháp. Anh bị cáo buộc có liên hệ với ShinyHunters trong các vụ bán dữ liệu đánh cắp, theo báo Le Monde và Cybersecurity News.

Đến năm 2022, cảnh sát Pháp điều tra một số nghi phạm khác có liên quan đến việc ShinyHunters phát tán dữ liệu trên RaidForums.

Sơn Vân