Bên trong vụ tấn công GitHub vào Grafana và nỗ lực tống tiền bằng mã nguồn

Các nhà điều tra cũng nhấn mạnh rằng đây là hành vi truy cập và tải dữ liệu, không phải phá hoại. Kẻ tấn công chỉ tải mã nguồn và không sửa đổi repository hoặc cài mã độc vào hệ thống của Grafana.

Yêu cầu tiền chuộc

Sau khi lấy được mã nguồn, kẻ tấn công liên hệ với Grafana và đưa ra yêu cầu tiền chuộc: trả tiền để đổi lấy việc không công bố mã nguồn bị đánh cắp.

Đây là chiến thuật tội phạm mạng ngày càng phổ biến, thường được gọi là mô hình "pay‑or‑leak" (trả tiền hoặc bị công bố). Thay vì mã hóa hệ thống như ransomware truyền thống, tin tặc đánh cắp dữ liệu rồi đe dọa tung ra công khai nếu nạn nhân không trả tiền.

Grafana đã từ chối yêu cầu này.

Vì sao Grafana không trả tiền

Theo công ty, cuộc điều tra nội bộ cho thấy không có dữ liệu khách hàng, thông tin cá nhân hay hệ thống sản xuất nào bị truy cập.

Vì phạm vi truy cập của kẻ tấn công chỉ giới hạn ở các kho mã nguồn, khả năng gây sức ép của cuộc tống tiền bị giảm đáng kể. Không có gián đoạn dịch vụ hay rò rỉ dữ liệu người dùng, Grafana quyết định không trả tiền cho kẻ tấn công.

Công ty cũng cho biết đã thu hồi toàn bộ thông tin xác thực bị lộ và triển khai thêm các biện pháp bảo mật sau sự cố.

Có nhóm hacker nào đứng sau không?

Cho đến nay, các báo cáo công khai chưa xác định chắc chắn thủ phạm đứng sau vụ tấn công vào Grafana.

Tuy nhiên, nhiều chuyên gia an ninh mạng so sánh kiểu tống tiền này với hoạt động của các nhóm như ShinyHunters – một nhóm nổi tiếng với việc xâm nhập hệ thống, đánh cắp dữ liệu và đòi tiền để ngăn việc công bố.

Những nhóm như vậy thường tập trung vào đánh cắp dữ liệu và kiếm tiền từ nó, thay vì phá hoại hệ thống. Họ có thể bán dữ liệu trên các diễn đàn ngầm hoặc công bố công khai nếu nạn nhân không trả tiền.

Hiện không có bằng chứng xác nhận ShinyHunters thực hiện vụ tấn công Grafana, nhưng mô hình tống tiền của vụ việc khá giống các chiến dịch kiểu này.

Ảnh hưởng đối với khách hàng và hệ thống

Grafana khẳng định sự cố không ảnh hưởng đến khách hàng hoặc hệ thống vận hành.

Theo kết quả điều tra của công ty:

• Không có dữ liệu khách hàng hay thông tin cá nhân bị truy cập.
• Không có hệ thống sản xuất nào bị xâm nhập.
• Hoạt động kinh doanh không bị gián đoạn.

Tác động được xác nhận chủ yếu là việc mã nguồn từ một số repository GitHub riêng bị tải xuống.

Vì sao vụ việc này đáng chú ý với chuỗi cung ứng phần mềm

Ngay cả khi không có dữ liệu người dùng bị lộ, việc đánh cắp mã nguồn vẫn rất có giá trị đối với kẻ tấn công.

Các repository riêng có thể tiết lộ:

• Kiến trúc hệ thống và thiết kế nội bộ
• Cách xử lý thông tin xác thực và bảo mật
• Tính năng chưa công bố hoặc tài sản trí tuệ
• Các lỗ hổng tiềm năng có thể bị khai thác sau này

Do đó, hạ tầng phát triển phần mềm – đặc biệt là GitHub, token truy cập và pipeline CI/CD – ngày càng trở thành mục tiêu hấp dẫn của tin tặc.

Trường hợp của Grafana cho thấy chỉ một token bị lộ trong workflow tự động cũng có thể mở đường cho việc truy cập mã nguồn nhạy cảm, ngay cả khi hệ thống sản xuất không bị xâm nhập.

Khi ngày càng nhiều công ty dựa vào nền tảng phát triển trên đám mây, sự cố này nhấn mạnh một bài học quan trọng: bảo vệ thông tin xác thực của lập trình viên và pipeline tự động giờ đây là phần cốt lõi của an ninh chuỗi cung ứng phần mềm hiện đại.