ShinyHunters – Từ nhóm tin tặc Quốc tế khét tiếng đến vụ tấn công Trung tâm Thông tin tín dụng Quốc Gia (CIC)

Ngày 13/11/2025

Ngày 10/09/2025 vừa qua một cuộc tấn công quy mô lớn nhắm vào Trung tâm Thông tin Tín dụng Quốc gia (CIC) đã được Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT) ghi nhận. Theo các báo cáo được ghi nhận thì chiến dịch lần này có liên quan tới ShinyHunters – nhóm tin tặc quốc tế nổi tiếng với hàng loạt vụ tấn công dữ liệu lớn trên thế giới.

Nhóm hacker ShinyHunters tuyên bố đã tấn công thành công và chiếm đoạt hơn 160 triệu bản ghi dữ liệu từ Trung tâm Thông tin Tín dụng Quốc gia Việt Nam (CIC – Credit Institute of Vietnam).

Đôi nét về ShinyHunters

ShinyHunters được biết đến như một nhóm tội phạm mạng (“black-hat hacker / extortion group”) nổi tiếng trong lĩnh vực đánh cắp và buôn bán dữ liệu. Nổi lên từ đầu những năm 2020 với hàng loạt chiến dịch ăn cắp dữ liệu nổi tiếng. Nhiều người chưa biết thì cái tên “ShinyHunters” được lấy cảm hứng từ trò chơi Pokémon — “shiny” trong Pokémon là phiên bản hiếm. Tương tự, nhóm tin tặc xem dữ liệu nhạy cảm, giá trị là tài sản “hiếm, đáng săn tìm”.

Động cơ chủ yếu của nhóm tin tặc là lợi nhuận về tài chính như việc đánh cắp dữ liệu để bán trên chợ đen, tống tiền bằng cách đe dọa tiết lộ dữ liệu nếu nạn nhân không trả tiền. Ngoài ra, việc gây tiếng vang (publicity) cũng là một phần trong chiến lược từ những vụ rò rỉ lớn giúp nhóm này nổi tiếng trong thế giới tội phạm mạng.

Chiến dịch nổi bật

Ngoài vụ việc tấn công dữ liệu tại CIC ở Việt Nam thì trước đó ShinyHunters còn thực hiện nhiều chiến dịch dữ liệu lớn trên thế giới, minh chứng cho phạm vi và mức độ tinh vi trong hoạt động của chúng.

Ban đầu nổi lên từ năm 2020 với một chiến dịch tấn công vào Tokopedia – sàn thương mại điện tử lớn của Indonesia đã đánh dấu những bước phát triển đầu tiên trong giới tội phạm mang của chúng. Thiệt hại ban đầu được ghi nhận với hơn 91 triệu bản ghi người dùng bị đánh cắp như: Email, mật khẩu mã băm và dữ liệu tài chính cá nhân.

Vẫn tiếp tục trong cùng năm nạn nhân của nhóm tin tặc là hệ thống Unacademy của Ấn Độ, ảnh hưởng lên đến hàng chục triệu tài khoản đã bị lấy cắp thông tin. Vụ việc này dấn đến thông tin của hơn 20 triệu khách hàng được bán trên Dark Web với giá 40.000 đô la. Vào tháng 11, ShinyHunters cũng chịu trách nhiệm rò rỉ 46 triệu hồ sơ người dùng từ trò chơi trẻ em nổi tiếng AnimalJam, và 3,2 triệu hồ sơ người dùng từ Dịch vụ Truyền hình Internet Hoa Kỳ Plutotv.

Kể từ đầu năm 2021, ShinyHunters cũng tiếp tục tham gia vào các vi phạm dữ liệu cá nhân lớn. Trong số các dịch vụ bị ảnh hưởng có ứng dụng chỉnh sửa ảnh trực tuyến PIXLR (hơn 19 triệu người dùng đã bị lấy cắp thông tin). Bên cạnh đó phần mềm cho các tài liệu kỹ thuật số – Nitropdf cũng bị nhắm tới với 77 triệu dữ liệu đã bị bán trên Dark Web. Đặc biệt là nền tảng hẹn hò MeetMindful với 2,28 dữ liệu cá nhân, thông tin nhạy cảm đã bị đánh cắp tống tiền. Cả ba hệ thống dữ liệu này đều được rao bán rầm rộ trên các diễn đàn cũng như có thể dễ dàng mua được.

Tiếp theo năm 2022, bọn chúng không dừng lại mà vẫn tiếp tục mở rộng các chiến dịch với sự kiện Bonobos, một chuỗi cửa hàng thời trang nổi tiếng, dẫn đến rò rỉ khoảng 70GB dữ liệu nhạy cảm của khách hàng. Tiếp đến những năm 2023, ShinyHunters gây chú ý mạnh mẽ khi tiếp nhận BreachForums, diễn đàn chuyên chia sẻ dữ liệu bị rò rỉ, cho thấy được mục tiêu của bọn chúng không chỉ dừng lại là đánh cắp thông tin mà còn là tạo tiếng vang trong giới tội phạm mạng.

Kể từ năm 2024 trở đi thì nhóm tin tặc này càng liều lĩnh hơn với việc nhắm vào hàng loạt công ty, tập đoàn lớn trên thế giới. Một số nạn nhân của chúng như: Adidas, LVMH, Qantas, Allianz Life đều đã bị ảnh hưởng qua việc tấn công môi trường sử dụng Salesforce, Snowflake gây tổn thất nghiêm trọng.

Phương thức và kỹ thuật

ShinyHunters sử dụng nhiều phương pháp đa dạng để tấn công mục tiêu, bao gồm:

Phishing hoặc Vishing (gọi điện thoại giả mạo, email giả mạo) để lấy thông tin đăng nhập, truy cập hệ thống.
Khai thác lỗ hổng phần mềm, exploit kits, hoặc các hệ thống không được bảo trì / hết hỗ trợ.
Tấn công vào kho lưu trữ đám mây / bucket AWS / GitHub / etc — nơi chứa mã nguồn, thông tin xác thực, cấu hình, APIs.
Tấn công có tổ chức trong các nền tảng SaaS lớn như Salesforce, bằng cách giả mạo ứng dụng kết nối hoặc công cụ bên thứ ba (ví dụ Data Loader), qua việc lừa nhân viên để cấp quyền truy cập.

ShinyHunters tấn công CIC

ShinyHunters tuyên bố rằng họ đã tấn công CIC thông qua một lỗ hổng “n-day” (n-day vulnerability) trên phần mềm đã hết hạn hỗ trợ (end-of-life software). Lỗ hổng “n-day” là những lỗ hổng bảo mật đã được công khai và đã có mã khai thác (exploit code).

Không giống như các lỗ hổng “Zero-day“ thì “n-day” có thể dễ dàng khai thác nếu hệ thống mục tiêu chưa được vá. Trong chiến dịch lần này cũng vậy, nhóm tin tặc ShinyHunters ban đầu đã thực hiện dò quét hệ thống của CIC để phát hiện phần mềm lỗi thời (EOL).

Bọn chúng cũng thường sử dụng SQL Injection, lợi dụng các lỗ hổng trong cơ sở dữ liệu web, cho phép truy vấn trực tiếp dữ liệu nhạy cảm. Sau đó chúng sẽ khai thác lỗ hổng tìm được để xâm nhập vào hệ thống nội bộ của CIC. Và tất nhiên sau khi truy cập thành công, ShinyHunters đã trích xuất, sao chép và tải xuống dữ liệu (khoảng 160 triệu bản ghi).

Tác động đến người dùng

Khoảng 160 triệu bản ghi thông tin cá nhân của người dân đã bị đánh cắp
- Họ tên, ngày sinh, địa chỉ
- Số CMND/CCCD, mã số thuế
- Thông tin tài chính, lịch sử tín dụng, hạn mức vay
Mặc dù giao dịch sẽ không bị ảnh hưởng nhưng tội phạm mạng có thể lợi dụng sự cố trên để lừa đảo, do đó người dùng cần tuyệt đối cảnh giác với các cuộc gọi, tin nhắn hay email mạo danh ngân hàng, CIC hoặc cơ quan công an.

Kết luận

Chiến dịch tấn công vào CIC bởi nhóm ShinyHunters không chỉ là một vụ rò rỉ dữ liệu đơn thuần, mà là hồi chuông cảnh tỉnh nghiêm trọng về an ninh mạng quốc gia, cho thấy những điểm yếu tồn tại trong hạ tầng kỹ thuật, ý thức về việc rà quét lỗ hổng hệ thống một cách thường xuyên.

Khuyến nghị

Từ các vụ tấn công của ShinyHunters qua từng năm, có thể rút ra nhiều bài học quan trọng cho các tổ chức và cá nhân trong việc bảo vệ dữ liệu. Trước hết, việc quản lý và giám sát dữ liệu phải được thực hiện nghiêm ngặt. Bên cạnh đó thì yếu tố con người vẫn là mắt xích quan trọng nhất.

Khuyến nghị đối với người dùng:
- Kiểm tra và bảo vệ thông tin cá nhân
  - Chủ động kiểm tra xem thông tin cá nhân (CMND/CCCD, SĐT, email, tài khoản ngân hàng) có bị rò rỉ hay không.
  - Nếu nghi ngờ bị lộ, thay đổi mật khẩu / mã PIN, khoá tạm thời tài khoản nếu cần.
- Sử dụng mật khẩu mạnh và xác thực đa yếu tố (MFA)
  - Tránh dùng lại mật khẩu giữa nhiều dịch vụ.
  - Mật khẩu nên có ít nhất 12 ký tự, bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt.
  - Bật xác thực 2 lớp (MFA) cho tài khoản ngân hàng, email, mạng xã hội.
- Cảnh giác với lừa đảo (phishing / giả mạo CIC)
  - Tuyệt đối không bấm vào liên kết lạ qua SMS/email tự xưng là CIC, ngân hàng, Bộ Công an…
  - CIC không bao giờ gọi điện yêu cầu xác nhận mã OTP hoặc cung cấp số tài khoản.
  - Nếu nhận thông tin bất thường, liên hệ trực tiếp tổng đài chính thức của CIC hoặc ngân hàng.
- Theo dõi báo cáo tín dụng và hoạt động tài chính bất thường
  - Thường xuyên kiểm tra báo cáo tín dụng cá nhân (qua ứng dụng CIC hoặc ngân hàng).
  - Nếu thấy khoản vay lạ, đăng ký tín dụng không do mình thực hiện → khiếu nại ngay lập tức.
  - Cân nhắc đăng ký dịch vụ cảnh báo thay đổi tín dụng (nếu ngân hàng cung cấp).
Khuyến nghị đối với tổ chức:
- Rà soát và loại bỏ phần mềm lỗi thời (EOL)
  - Ngừng ngay việc sử dụng các phần mềm, hệ điều hành đã hết vòng đời hỗ trợ (end-of-life).
  - Thiết lập quy trình kiểm tra định kỳ danh sách tài sản CNTT và cập nhật phần mềm lên phiên bản được hỗ trợ chính thức.
- Thiết lập quy trình quản lý lỗ hổng (Vulnerability Management)
  - Áp dụng hệ thống giám sát, quét và đánh giá lỗ hổng toàn diện
  - Định kỳ quét hệ thống nội bộ và bên ngoài để phát hiện sớm lỗ hổng n-day, zero-day.
  - Phân loại mức độ nghiêm trọng (CVE score) và lên kế hoạch vá lỗi theo mức ưu tiên.