AWS: Mối đe dọa mạng nghiêm trọng, tấn công trong 72 giờ

AWS: Mối đe dọa mạng nghiêm trọng, tấn công trong 72 giờ

Một cuộc xâm nhập quy mô lớn vào AWS đã phơi bày cách những kẻ tấn công được hỗ trợ bởi AI có thể kết hợp các kỹ thuật đám mây quen thuộc để chuyển từ truy cập ban đầu sang chiếm quyền kiểm soát toàn bộ môi trường chỉ trong khoảng 72 giờ. Cuộc tấn công này không sử dụng các lỗ hổng mới lạ mà dựa vào tốc độ, quy mô và khả năng điều phối chưa từng có.

Tấn công Mạng Dựa trên AI vào AWS

Theo điều tra của Sygnia, kẻ tấn công đã giành quyền truy cập ban đầu vào một tài khoản AWS bằng cách khai thác điểm yếu trong một ứng dụng hướng ra Internet. Sau đó, chúng chuyển hướng sang các ứng dụng khác, hạ tầng đám mây, kho lưu trữ mã nguồn (source-control repositories), các quy trình tích hợp liên tục và triển khai liên tục (CI/CD), cũng như các dịch vụ runtime.

Kỹ thuật Tấn công Tinh vi

Mỗi thông tin xác thực mới thu thập được đều kích hoạt một làn sóng khám phá mới, thu thập bí mật, nỗ lực duy trì quyền truy cập và các hành động hướng đến mục tiêu gây ảnh hưởng. Điều này tạo ra các “làn sóng tấn công” chồng chéo thay vì một chuỗi hành động tuyến tính duy nhất.

Mục tiêu của kẻ tấn công là tống tiền tài chính. Thay vì triển khai mã hóa kiểu ransomware, chúng tìm cách kiểm soát đủ hạ tầng đám mây để đe dọa gián đoạn các dịch vụ quan trọng làm đòn bẩy.

Bằng chứng về Công cụ Hỗ trợ AI

Nhiều bằng chứng pháp y chỉ ra các công cụ hỗ trợ bởi AI hoặc tự động hóa đang điều khiển chiến dịch này. Một ví dụ điển hình là bốn khóa truy cập riêng biệt, liên kết với bốn tài khoản khác nhau, đã được sử dụng từ cùng một địa chỉ IP nguồn và user-agent trong cùng một giây. Mức độ đồng thời này rất khó giải thích bằng hoạt động thủ công của con người.

Kẻ tấn công cũng thực thi hàng trăm truy vấn SQL độc đáo trên hàng tá cơ sở dữ liệu và nhanh chóng lập bản đồ mối quan hệ giữa các hàng đợi đám mây, worker và các tệp triển khai. Điều này cho thấy khả năng thích ứng với môi trường cụ thể thay vì sử dụng các script chung chung, không mục đích.

Các hiện vật do kẻ tấn công tạo ra cũng được trình bày dưới dạng một bài kiểm tra xâm nhập (pentest) hoặc bài tập đội đỏ (red team) được ủy quyền. Mục đích có thể là để đánh lừa các nhà điều tra hoặc giảm thiểu sự từ chối từ các công cụ AI tạo mã tấn công.

Xu hướng Tấn công Mạng Tăng Tốc

Phát hiện này phù hợp với các xu hướng rộng lớn hơn được quan sát trong năm 2026, khi các nhà nghiên cứu bảo mật đã ghi nhận AI làm giảm đáng kể thời gian tấn công trên đám mây. Đây là một dấu hiệu đáng báo động về mối đe dọa mạng ngày càng tăng.

Nhóm Nghiên cứu Mối đe dọa của Sysdig, ví dụ, đã mô tả chi tiết một sự cố riêng biệt vào tháng 11 năm 2025, trong đó một kẻ tấn công đã sử dụng các mô hình ngôn ngữ lớn để leo thang từ truy cập ban đầu lên quyền kiểm soát quản trị AWS hoàn chỉnh chỉ trong 8 phút bằng cách chèn mã độc vào một hàm Lambda.

Trường hợp đó tương tự không liên quan đến các lỗ hổng zero-day hoặc mã độc mới, mà chỉ sử dụng thông tin đăng nhập bị đánh cắp, các dịch vụ AWS gốc và tự động hóa do AI điều khiển cho việc do thám, leo thang đặc quyền và di chuyển ngang (lateral movement) trên 19 danh tính AWS riêng biệt.

Vai trò của AI trong việc Giảm Ma Sát Tấn Công

Các nhà nghiên cứu tại Vectra AI lưu ý rằng AI đã “loại bỏ ma sát” khỏi cuộc tấn công, cho phép kẻ tấn công liệt kê các dịch vụ và đánh giá các đường dẫn đặc quyền nhanh hơn bất kỳ người vận hành thủ công nào có thể.

AI đã tăng tốc cuộc tấn công, nhưng tác động thực sự của nó bắt nguồn từ các điểm yếu đã tồn tại từ trước: khả năng hiển thị phân mảnh, bí mật bị lộ trong các S3 bucket và môi trường CI/CD, các quyền đám mây quá rộng, và sự thiếu vắng các kế hoạch ứng phó (containment playbooks) được định nghĩa trước. Đây là những yếu tố cốt lõi cần được xem xét để nâng cao an ninh mạng.

Khảo sát về Sự chuẩn bị của Tổ chức

Khảo sát CISO 2026 của Sygnia cho thấy 73% trong số 600 người ra quyết định bảo mật cấp cao tin rằng tổ chức của họ sẽ không hoàn toàn chuẩn bị để ứng phó với một cuộc tấn công mạng nghiêm trọng xảy ra “ngày mai”. Điều này nhấn mạnh sự cấp bách trong việc cập nhật bản vá và cải thiện chiến lược phòng thủ.

Khuyến nghị Ứng phó Tình huống

Sygnia khuyến nghị chuyển đổi phản ứng sự cố từ mô hình tuyến tính sang phương pháp dựa trên động lượng, trong đó điều tra và ngăn chặn diễn ra song song.

Các Ưu tiên Phòng thủ Cốt lõi

  • Loại bỏ các thông tin xác thực IAM tồn tại lâu dài.
  • Thu hẹp phạm vi quyền truy cập của dịch vụ AI một cách chặt chẽ.
  • Coi danh tính (identity) là cơ sở hạ tầng Cấp 0 (Tier-0 infrastructure).

Phân tích ngành rộng hơn củng cố rằng việc loại bỏ các thông tin xác thực IAM tồn tại lâu dài, thu hẹp quyền của dịch vụ AI và coi danh tính là cơ sở hạ tầng Cấp 0 hiện là các biện pháp kiểm soát cơ bản thiết yếu chống lại các cuộc tấn công đám mây tốc độ AI.

Bài học chung trên các sự cố năm 2026 này là nhất quán: khi việc áp dụng AI tấn công tăng tốc và điều phối trên toàn bộ vòng đời tấn công, các nhà phòng thủ phải đối phó với tốc độ đó bằng các khả năng phản ứng tự động, tích hợp tương đương, thay vì các biện pháp phòng thủ rời rạc, từng công cụ một.

Việc chậm trễ trong việc áp dụng các công nghệ và chiến lược bảo mật mới, như cách đối phó với các mối đe dọa do AI thúc đẩy, có thể dẫn đến hậu quả nghiêm trọng. Nguồn tham khảo chi tiết về các điểm chuẩn MTTR và bảng điều khoản đàm phán có thể được tìm thấy tại AI SOC SLA in 2026.