Tưởng tượng hệ thống email của công ty bạn bỗng nhiên trở thành cánh cửa rộng mở cho tin tặc Trung Quốc xâm nhập suốt hai tháng liền mà không ai hay biết. Đó chính là thảm kịch thực tế vừa xảy ra với một công ty dầu khí hàng đầu Azerbaijan. Nhóm hacker FamousSparrow (hay còn gọi UAT-9244) đã thực hiện cuộc tấn công 'đa tầng sóng' từ cuối tháng 12/2025 đến cuối tháng 2/2026. Bitdefender khẳng định với độ tin cậy từ trung bình đến cao rằng đây là hành vi của nhóm tin tặc có liên kết với chính phủ Trung Quốc.

Kịch bản tấn công 'sóng thần' đầy tàn khốc

FamousSparrow đã biến cuộc tấn công này thành một 'kiệt tác' của chiến thuật multi-wave intrusion (xâm nhập đa tầng sóng). Thay vì tấn công một lần rồi rút lui, nhóm này kiên nhẫn thực hiện nhiều đợt tấn công liên tiếp trong suốt hai tháng. Mỗi 'sóng tấn công' đều nhắm vào các lỗ hổng khác nhau trên hệ thống Microsoft Exchange của công ty năng lượng này. Chúng tôi cho rằng đây là chiến thuật cực kỳ nguy hiểm vì nạn nhân khó phát hiện và ngăn chặn kịp thời.

Điều đáng lo ngại nhất là sự mở rộng phạm vi mục tiêu của FamousSparrow. Trước đây, nhóm này chủ yếu tập trung vào các khách sạn cao cấp và ngành du lịch ở châu Âu, châu Á. Việc chuyển hướng sang lĩnh vực năng lượng tại Azerbaijan cho thấy họ đang thay đổi chiến lược một cách đáng báo động. Đặc biệt, Azerbaijan là quốc gia quan trọng trong chuỗi cung ứng năng lượng toàn cầu, nằm ở vị trí địa chính trị nhạy cảm giữa Nga và phương Tây.

Microsoft Exchange - 'Gót chân Achilles' của doanh nghiệp

Microsoft Exchange Server một lần nữa chứng minh là mục tiêu 'vàng' của các nhóm APT (Advanced Persistent Threat - tấn công dai dẳng nâng cao). Hệ thống email này chứa đựng kho báu thông tin nhạy cảm: email nội bộ, danh sách liên lạc, tài liệu đính kèm quan trọng. Exchange vulnerability (lỗ hổng Exchange) đã trở thành 'từ khóa kinh hoàng' trong giới an ninh mạng kể từ vụ tấn công Hafnium năm 2021 với hơn 250.000 máy chủ bị xâm phạm.

Theo thống kê từ CISA (Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ), Exchange chiếm đến 35% các vectơ tấn công ban đầu trong năm 2025. Chúng tôi đánh giá rằng tình trạng này sẽ còn tiếp diễn vì nhiều doanh nghiệp vẫn sử dụng phiên bản Exchange cũ chưa được vá lỗi đầy đủ. Tại Việt Nam, khảo sát của Bộ TT&TT cho thấy 68% doanh nghiệp vừa và nhỏ vẫn dùng Exchange Server 2016 trở xuống.

Tác động domino từ khu vực đến toàn cầu

Cuộc tấn công vào công ty dầu khí Azerbaijan không chỉ dừng lại ở thiệt hại kinh tế địa phương. Ngành năng lượng có tính liên kết toàn cầu cao, một sự cố tại Azerbaijan có thể tạo hiệu ứng domino ảnh hưởng đến chuỗi cung ứng năng lượng châu Âu. Chúng tôi ước tính thiệt hại từ việc rò rỉ dữ liệu địa chất, thông tin khoan khảo có thể lên đến hàng chục triệu USD.

Đặc biệt quan ngại là xu hướng các nhóm APT Trung Quốc ngày càng chú trọng vào sector năng lượng. Trong 6 tháng đầu 2025, Mandiant ghi nhận 47% cuộc tấn công từ các nhóm liên kết Trung Quốc nhắm vào ngành năng lượng, tăng 23% so với cùng kỳ năm trước. Việt Nam với 2 nhà máy điện hạt nhân đang xây dựng và hệ thống lọc dầu hiện đại cần đặc biệt cảnh giác.

Lá chắn bảo vệ doanh nghiệp Việt Nam

Doanh nghiệp Việt Nam cần hành động ngay lập tức để tránh thành nạn nhân tiếp theo. Bước đầu tiên là patch management (quản lý bản vá) nghiêm ngặt cho tất cả Exchange Server, đặc biệt các CVE mới nhất từ Microsoft. Triển khai Multi-Factor Authentication (xác thực đa yếu tố) cho mọi tài khoản admin là bắt buộc, không còn là tùy chọn.

Chúng tôi khuyến cáo mạnh mẽ việc áp dụng Zero Trust Architecture (kiến trúc không tin tưởng) - mô hình bảo mật mặc định mọi kết nối đều nghi ngờ. Network segmentation (phân đoạn mạng) giúp hạn chế lateral movement (di chuyển ngang) của hacker khi đã xâm nhập. Cuối cùng, backup offline định kỳ và kế hoạch incident response (ứng phó sự cố) chi tiết sẽ là 'phao cứu sinh' cuối cùng khi mọi tuyến phòng thủ khác thất bại.