404 Not Found
Writer
Nhóm tin tặc LAPSUS$ – từng gây chấn động với hàng loạt vụ tấn công vào các “ông lớn” công nghệ – được cho là đã quay trở lại, lần này nhắm vào tập đoàn dược phẩm đa quốc gia AstraZeneca. Theo các thông tin lan truyền trên diễn đàn ngầm, nhóm này đang rao bán một gói dữ liệu nội bộ dung lượng khoảng 3GB, làm dấy lên lo ngại về một vụ rò rỉ quy mô đáng kể.
AstraZeneca là một trong những tập đoàn dược phẩm và công nghệ sinh học lớn nhất thế giới, có trụ sở tại Vương quốc Anh. Công ty này nổi tiếng với nhiều loại thuốc và vaccine, trong đó có vaccine COVID-19 hợp tác với University of Oxford
Khác với các chiến dịch trước đây thường đi kèm việc công khai dữ liệu để gây sức ép, động thái lần này cho thấy dấu hiệu chuyển hướng sang mô hình “bán quyền truy cập”. Nhóm tin tặc đăng tải một số hình ảnh và mô tả về dữ liệu bị đánh cắp nhằm chứng minh độ xác thực, đồng thời kêu gọi người mua liên hệ qua ứng dụng nhắn tin bảo mật Session để thương lượng. Việc chưa công bố toàn bộ dữ liệu miễn phí cho thấy mục tiêu chính có thể là lợi nhuận trực tiếp thay vì gây áp lực công khai.
Theo tuyên bố từ phía các đối tượng, gói dữ liệu này chứa nhiều thành phần nhạy cảm, bao gồm mã nguồn của các hệ thống phát triển bằng Java Spring Boot, giao diện Angular và các script Python. Bên cạnh đó là thông tin về hạ tầng đám mây với các cấu hình triển khai trên Amazon Web Services và Microsoft Azure, cũng như các thiết lập tự động hóa bằng Ansible và Terraform.
Đáng chú ý hơn, nhóm này còn tuyên bố nắm giữ các khóa mã hóa riêng, thông tin xác thực Vault, cùng token truy cập liên quan đến hệ thống phát triển phần mềm như GitHub và Jenkins. Đây là những thành phần có thể mở rộng phạm vi ảnh hưởng nếu bị khai thác, đặc biệt trong môi trường DevOps hiện đại.
Dù là hãng dược phẩm nổi tiếng với vaccine COVID, AstraZeneca vẫn vận hành nhiều hệ thống phần mềm nội bộ và hạ tầng đám mây phức tạp, dùng các công cụ như GitHub, Jenkins hay Ansible để quản lý nghiên cứu, sản xuất và chuỗi cung ứng. Chính vì vậy, các khóa mã hóa và token nội bộ trở thành “mồi ngon” đối với hacker, không khác gì các công ty công nghệ.
Một số dữ liệu mẫu được công bố cho thấy cấu trúc thư mục nội bộ với một kho lưu trữ mang tên “AZU_EXFIL”, bên trong chứa dự án được cho là cổng quản lý chuỗi cung ứng. Hệ thống này có vai trò xử lý nhiều chức năng quan trọng như dự báo nhu cầu, theo dõi tồn kho, quản lý dữ liệu sản phẩm, tích hợp SAP và giám sát hiệu suất giao hàng. Nếu các thông tin này là thật, tác động tiềm tàng không chỉ dừng ở rò rỉ dữ liệu mà còn có thể ảnh hưởng đến vận hành chuỗi cung ứng.
Hiện tại, AstraZeneca vẫn chưa đưa ra bất kỳ phản hồi chính thức nào về vụ việc. Trong khi đó, cộng đồng an ninh mạng vẫn đang theo dõi sát sao để xác minh tính xác thực của dữ liệu cũng như đánh giá mức độ ảnh hưởng thực tế. Nếu được xác nhận, đây có thể là dấu hiệu cho thấy LAPSUS$ đã thực sự quay lại, với chiến thuật mới tập trung vào khai thác giá trị thương mại từ dữ liệu đánh cắp.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
