Ai đứng sau vụ hack Trung tâm Thông tin tín dụng quốc gia?

Theo thông cáo của VNCERT, ngày 10.9, VNCERT nhận được báo cáo sự cố an ninh mạng và dấu hiệu vi phạm dữ liệu cá nhân xảy ra tại Trung tâm Thông tin tín dụng quốc gia (CIC). 

Ngay sau khi tiếp nhận thông tin, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) đã chỉ đạo VNCERT chủ trì phối hợp với các đơn vị nghiệp vụ điều phối các doanh nghiệp cung cấp dịch vụ an toàn thông tin mạng (Viettel, VNPT, NCS), CIC, đơn vị chức năng của Ngân hàng Nhà nước xác minh thông tin về sự cố, triển khai các biện pháp nghiệp vụ, kĩ thuật ứng phó sự cố, tăng cường các giải pháp bảo đảm an ninh mạng, thu thập dữ liệu, chứng cứ để xử lý theo quy định của pháp luật. Kết quả xác minh ban đầu cho thấy dấu hiệu hoạt động tấn công, xâm nhập của tội phạm mạng để đánh cắp dữ liệu cá nhân. Số lượng dữ liệu bị chiếm đoạt trái phép đang được tiếp tục thống kê, làm rõ. 

Chia sẻ với PV Thanh Niên, ông Ngô Minh Hiếu, Giám đốc dự án Chongluadao.vn cho biết: “Ngày 8.9, Chongluadao phát hiện tổ chức ShinyHunters tuyên bố xâm nhập CIC (thuộc Ngân hàng Nhà nước Việt Nam), đánh cắp hơn 160 triệu bản ghi dữ liệu (hiện vẫn chưa xác thực data này có hoàn toàn có thật của CIC hay không) vì dữ liệu này chưa được xác thực, nên chúng tôi quyết định không công bố và không chia sẻ. Dữ liệu được rao bán trên diễn đàn hacker ngay sau đó. Đây là một trong những sự cố xâm phạm dữ liệu lớn nhất từng ghi nhận tại Việt Nam”.

Theo ông Ngô Minh Hiếu, nhóm ShinyHunters đã công khai nhận trách nhiệm và rao bán dữ liệu dưới danh xưng quen thuộc của nhóm, cung cấp mẫu dữ liệu cho người mua. Không có nhóm khác đứng ra nhận. Nhóm này cho biết đã chọn CIC để tấn công vì “kho dữ liệu khổng lồ” và khả năng thu lợi từ việc bán dữ liệu. ShinyHunters là nhóm hacker mũ đen khét tiếng, được cho là hình thành vào năm 2020 và nổi danh vì hàng loạt vụ xâm nhập dữ liệu quy mô lớn. Nhóm này hoạt động theo kiểu tống tiền các công ty: Sau khi đánh cắp dữ liệu, chúng yêu cầu tiền chuộc, nếu nạn nhân không trả tiền thì dữ liệu sẽ bị bán hoặc tung lên web đen để công khai. Mặc dù tên gọi nghe có vẻ vô hại nhưng ShinyHunters thực chất là một tổ chức tội phạm mạng quốc tế hoạt động tinh vi, chuyên đánh cắp và buôn bán cơ sở dữ liệu lớn chứa thông tin cá nhân nhạy cảm.

Chỉ trong thời gian ngắn sau khi xuất hiện, ShinyHunters đã trở thành một trong những nhóm hacker được nhắc đến nhiều nhất trong cộng đồng an ninh mạng nhờ chuỗi tấn công dồn dập và quy mô cực lớn. Chúng thường khoe khoang thành tích trên các diễn đàn hacker và thậm chí được cho là từng điều hành cả diễn đàn buôn dữ liệu riêng (ví dụ như BreachForums trên darkweb) để rao bán thông tin đánh cắp. ShinyHunters gắn liền với các vụ rò rỉ dữ liệu cá nhân quy mô hàng triệu người dùng trên toàn cầu, làm rúng động cả giới doanh nghiệp lẫn chuyên gia bảo mật.

ShinyHunters nổi lên vào khoảng tháng 5.2020 với một chuỗi hoạt động gây chú ý. Trong hai tuần đầu tiên của tháng 5.2020, nhóm đã rao bán dữ liệu từ hơn một chục công ty, tổng cộng hơn 200 triệu bản ghi người dùng. Cụ thể, ngày 2.5.2020, ShinyHunters chào bán 91 triệu tài khoản người dùng của Tokopedia (Indonesia) cùng với 22 triệu tài khoản từ Unacademy (Ấn Độ). Nhóm còn tuyên bố xâm nhập kho mã nguồn private GitHub của Microsoft và lấy cắp khoảng 500 GB mã nguồn.

Trong giai đoạn đầu, nhóm chủ yếu bán dữ liệu đánh cắp để kiếm tiền, mỗi gói có giá từ vài trăm đến vài nghìn USD. Sang giai đoạn tiếp theo (khoảng 7.2020), ShinyHunters chuyển sang tung dữ liệu miễn phí nhằm khuếch trương thanh thế (ví dụ, công khai cơ sở dữ liệu của 25 công ty, tương đương 386 triệu bản ghi). Từ 2020 đến 2024, nhóm liên tục mở rộng phạm vi mục tiêu sang nhiều lĩnh vực như thương mại điện tử, giáo dục, giải trí, viễn thông, tài chính ở nhiều quốc gia nên ShinyHunters được coi là một trong những nhóm nguy hiểm nhất giai đoạn những năm 2020 về xâm nhập dữ liệu và tống tiền. Đến 2025, nhóm vẫn hoạt động, có dấu hiệu hợp nhất với các nhóm khác để tăng quy mô.