Tin tặc rò rỉ mã nguồn Chính phủ điện tử Thụy Điển trong vụ vi phạm CGI

Tin tặc phơi bày mã chính phủ điện tử được 95% dân số Thụy Điển sử dụng

Các nhà chức trách Thụy Điển đã mở cuộc điều tra sau khi một tác nhân đe dọa tên ByteToBreach tuyên bố đã rò rỉ mã nguồn từ nền tảng chính phủ điện tử quốc gia của nước này. Nền tảng này, một phần quan trọng của cơ sở hạ tầng, được 95% trong số 10,7 triệu cư dân Thụy Điển sử dụng vào năm 2024. Vụ vi phạm bắt nguồn từ hai máy chủ thử nghiệm nội bộ tại CGI Sverige, công ty con của gã khổng lồ dịch vụ IT toàn cầu CGI Group.

CGI thừa nhận một phiên bản ứng dụng cũ và mã nguồn của nó đã bị lộ, nhưng tuyên bố không có dấu hiệu cho thấy các dịch vụ hoạt động trực tiếp hoặc dữ liệu sản xuất của khách hàng bị ảnh hưởng. Tuy nhiên, Bộ trưởng Bộ Dân phòng Thụy Điển, Carl-Oskar Bohlin, đã xác nhận vụ rò rỉ dữ liệu, và các chuyên gia bảo mật IT đã xem xét tài liệu được công bố tin rằng vụ hack có vẻ là thật. Dữ liệu bị rò rỉ có thể bao gồm các tệp cấu hình và cơ sở dữ liệu nội bộ ngoài mã nguồn của nền tảng.

ByteToBreach mở rộng chiến dịch chống lại cơ sở hạ tầng châu Âu

Cuộc tấn công này không phải là một sự kiện đơn lẻ. Các nhà nghiên cứu bảo mật đã liên kết ByteToBreach với một vụ vi phạm tại Viking Line được tiết lộ chỉ một ngày trước đó, cho thấy một chiến dịch phối hợp nhắm vào cơ sở hạ tầng Thụy Điển và châu Âu thông qua những điểm yếu trong các nhà cung cấp dịch vụ được quản lý của họ. Rủi ro chính hiện nay là những kẻ tấn công có thể phân tích mã nguồn bị rò rỉ để khám phá các lỗ hổng mới trong các hệ thống chính phủ công khai.

Các tin tặc tuyên bố đã đánh cắp toàn bộ mã nguồn của nền tảng, có thể cùng với cơ sở dữ liệu nhân viên nội bộ và thông tin nhận dạng cá nhân của công dân. Mặc dù toàn bộ nội dung chưa được xác minh độc lập, việc công khai mã chính phủ độc quyền cho thấy sự leo thang đáng kể trong các mối đe dọa mạng chống lại các tác nhân nhà nước và các đối tác công nghệ của họ.

Đánh cắp dữ liệu chiến lược báo hiệu rủi ro mới cho các nhà cung cấp IT

Vụ vi phạm CGI là một ví dụ về sự thay đổi chiến lược trong các cuộc tấn công mạng, chuyển từ ransomware "đập phá và cướp bóc" gây gián đoạn sang việc đánh cắp dữ liệu có kỷ luật. Loại hình tấn công mới này tập trung vào việc duy trì sự tồn tại lâu dài trong một mạng, thường bằng cách xâm nhập thông tin đăng nhập hợp lệ để xuất hiện như một người dùng đáng tin cậy. Mục tiêu không phải là gây gián đoạn ngay lập tức mà là lặng lẽ đánh cắp một lượng lớn dữ liệu nhạy cảm để đạt được đòn bẩy tối đa.

Sự tiến hóa này phơi bày một điểm mù quan trọng đối với nhiều tổ chức vốn tốt hơn trong việc phát hiện hành vi độc hại rõ ràng hơn là hoạt động bất thường từ một nguồn đáng tin cậy. Đối với các nhà đầu tư, vụ việc nhấn mạnh một lớp rủi ro mới cho các nhà thầu chính phủ như CGI. Mối đe dọa chính không còn chỉ là gián đoạn kinh doanh mà là đánh cắp dữ liệu thảm khốc có thể gây thiệt hại nghiêm trọng về danh tiếng và làm suy yếu lòng tin của khách hàng, ảnh hưởng đến các hợp đồng dài hạn và giá trị cổ đông.