Tin tặc Nga đứng sau vụ tấn công mạng Jaguar Land Rover năm 2025 gây thiệt hại 2,5 tỷ USD

Vụ tấn công mạng Jaguar Land Rover: Ai đứng sau và diễn biến thế nào?

Nhóm tin tặc Nga cụ thể chịu trách nhiệm cho vụ tấn công mạng Jaguar Land Rover (JLR) năm 2025 vẫn chưa được công bố chính thức ở cấp độ đơn vị tác chiến. Các nhà điều tra từ cơ quan thực thi pháp luật Anh và Mỹ, cùng các công ty an ninh mạng tư nhân, đã kết luận vụ tấn công do tin tặc Nga thực hiện. Tuy nhiên, tính đến thời điểm có báo cáo chi tiết nhất (The New York Times, tháng 6/2026), danh tính nhóm cụ thể—chẳng hạn như một nhóm APT (Advanced Persistent Treat) nổi tiếng như APT29/Cozy Bear, Sandworm hay Star Blizzard—vẫn chưa được tiết lộ trong các báo cáo nguồn mở . Các nhà chức trách vẫn đang làm việc để xác định liệu những kẻ tấn công có hoạt động theo lệnh của Điện Kremlin hay chỉ nhận được sự đồng tình ngầm .

Diễn biến vụ tấn công: Chiến dịch 'Vishing' tinh vi

Vụ vi phạm bắt đầu vào ngày 31/8/2025 và dựa trên kỹ thuật xã hội (social engineering) hơn là khai thác lỗ hổng kỹ thuật phức tạp .

• Đường vào ban đầu có được thông qua một chiến dịch vishing (lừa đảo qua điện thoại) có bối cảnh cao. Tin tặc đã gọi điện đến bộ phận IT của JLR—được cho là nhắm vào một nhân viên của nhà cung cấp dịch vụ IT, Tata Consultancy Services (TCS)—giả danh nhân viên hợp pháp để yêu cầu đặt lại thông tin đăng nhập và đăng ký lại xác thực đa yếu tố (MFA). Điều này cho phép chúng đánh cắp token và đăng nhập bằng thông tin xác thực đã bị đánh cắp.
• Khi đã ở bên trong, tin tặc di chuyển ngang (lateral movement) từ hệ thống IT sang hệ thống ERP/MES (hoạch định nguồn lực doanh nghiệp và hệ thống điều hành sản xuất), cuối cùng làm gián đoạn dây chuyền sản xuất.
• Vụ xâm nhập bị phát hiện vào ngày 31/8, và JLR đã tạm dừng sản xuất vào ngày 1/9. Phải mất gần sáu tuần để bắt đầu khởi động lại sản xuất, khiến công ty thiệt hại ước tính khoảng 50 triệu bảng Anh mỗi tuần .

Các đơn vị tiến hành điều tra

Cuộc điều tra do các cơ quan thực thi pháp luật và các công ty an ninh mạng tư nhân từ cả Vương quốc Anh và Hoa Kỳ đứng đầu . The New York Times đã đưa tin dựa trên năm nguồn tin giấu tên quen thuộc với cuộc điều tra . Trung tâm Giám sát Không gian mạng (CMC), một cơ quan độc lập của Anh, đã phân loại sự cố này là sự kiện hệ thống Cấp độ 3 và ước tính tổng tác động kinh tế đối với Vương quốc Anh là 1,9 tỷ bảng Anh (khoảng 2,5 tỷ USD), ảnh hưởng đến hơn 5.000 doanh nghiệp.

Mâu thuẫn với tuyên bố ban đầu của 'Scattered Lapsus$ Hunters'

Ngay sau vụ tấn công, một nhóm tự xưng là Scattered Lapsus$ Hunters đã nhận trách nhiệm trên Telegram. Cái tên này gợi ý sự hợp tác giữa ba nhóm tội phạm mạng nói tiếng Anh: Scattered Spider, Lapsus$ và ShinyHunters .

Nhưng các nhà điều tra sau đó kết luận tuyên bố này là sai sự thật. Vụ tấn công khác biệt về phương pháp và động cơ so với các vụ tống tiền bằng mã độc tống tiền (ransomware) điển hình: không hề có yêu cầu đòi tiền, và mục đích dường như là phá hoại chứ không phải tống tiền . Những kẻ tấn công đã sử dụng 'Scattered Lapsus$ Hunters' làm vỏ bọc, và việc một số hãng tin ban đầu quy kết cho nhóm này là không chính xác.

Phản ứng của chính phủ Anh: Gói bảo lãnh 1,5 tỷ bảng

Vào các ngày 27-29/9/2025, Bộ trưởng Kinh doanh Peter Kyle đã thông báo chính phủ Anh sẽ bảo lãnh một khoản vay 1,5 tỷ bảng Anh (2 tỷ USD) từ một ngân hàng thương mại cho Jaguar Land Rover . Sự can thiệp chưa từng có này nhằm ổn định tài chính của JLR, bảo vệ việc làm lành nghề và bảo vệ chuỗi cung ứng của hãng, vốn đang đối mặt nguy cơ sụp đổ do thanh toán chậm . Khoản bảo lãnh này được mô tả như một biện pháp khẩn cấp để ngăn chặn hàng nghìn vụ sa thải trong chuỗi cung ứng. Tuy nhiên, các nhà phê bình sau đó cảnh báo nó đã tạo ra một 'tiền lệ xấu' cho các sự cố mạng trong tương lai, vì nó có thể khuyến khích các công ty không đầu tư đầy đủ vào an ninh mạng, hy vọng vào sự cứu trợ của chính phủ .

Phát hiện bất thường liên quan đến một tin tặc Jordan

Dựa trên các nguồn tin hiện có, không có bất kỳ thông tin xác nhận nào về việc một tin tặc Jordan đồng thời xâm nhập mạng lưới của JLR. Không có bài báo nào được trích dẫn đề cập đến chi tiết này. Do đó, thông tin này dường như không có cơ sở trong các bằng chứng hiện có.

Bảng tóm tắt các nhóm tin tặc Nga thường được nhắc đến

Tên nhóm (Tên khác)	Cơ quan tình báo liên quan	Đặc điểm hoạt động chính
APT29 (Cozy Bear, Midnight Blizzard, Nobelium)	SVR (Cơ quan Tình báo Đối ngoại Nga)	Gián điệp mạng, nhắm vào chính phủ, ngoại giao, các tổ chức nghiên cứu. Nổi tiếng với vụ tấn công SolarWinds .
Sandworm (APT44, Voodoo Bear, Seashell Blizzard)	GRU (Tổng cục Tình báo Quân đội Nga)	Phá hoại, tấn công cơ sở hạ tầng trọng yếu. Nổi tiếng với các vụ tấn công vào lưới điện Ukraine .
Star Blizzard (SEABORGIUM, Callisto Group, TA446)	FSB (Cơ quan An ninh Liên bang Nga)	Lừa đảo có chủ đích (spear phishing), nhắm vào các nhà nghiên cứu, cựu quan chức tình báo và quân đội, các tổ chức phi chính phủ .
APT28 (Fancy Bear, Forest Blizzard, STRONTIUM)	GRU (Tổng cục Tình báo Quân đội Nga)	Gián điệp, can thiệp bầu cử, nhắm vào các tổ chức NATO và Ukraine .

Lưu ý quan trọng: Các nhóm trên chỉ là những cái tên nổi bật trong bối cảnh chung về các mối đe dọa mạng từ Nga. Không có bằng chứng nào trong các nguồn tin cho thấy bất kỳ nhóm cụ thể nào trong số này chịu trách nhiệm cho vụ tấn công JLR.

Kết luận

Vụ tấn công mạng vào Jaguar Land Rover năm 2025 là một lời nhắc nhở rõ ràng về các mối đe dọa mạng tinh vi và khả năng gây thiệt hại kinh tế to lớn. Mặc dù dấu vết dẫn đến tin tặc Nga, nhưng việc thiếu thông tin chi tiết về nhóm cụ thể cho thấy sự phức tạp của các cuộc điều tra mạng và những thách thức trong việc quy kết trách nhiệm một cách chính thức. Bài học lớn nhất là tầm quan trọng của việc bảo vệ con người—đặc biệt là trước các chiến dịch kỹ thuật xã hội—chứ không chỉ dựa vào các công nghệ phòng thủ.