Trong tin tức bảo mật năm 2025–2026, lĩnh vực hàng không và hàng không vũ trụ tiếp tục nằm trong nhóm ngành bị nhắm mục tiêu mạnh bởi mối đe dọa mạng từ ransomware và hoạt động tống tiền dữ liệu. Từ nền tảng xử lý hành khách đến hệ thống định vị phụ thuộc vệ tinh, chỉ cần một nhà cung cấp bị gián đoạn cũng có thể tạo hiệu ứng dây chuyền trên toàn bộ chuỗi vận hành.
Rủi ro bảo mật trong hệ sinh thái hàng không
Ngành hàng không có cấu trúc kết nối chặt chẽ giữa hãng bay, sân bay, nhà sản xuất hàng không vũ trụ, đơn vị phục vụ mặt đất, nền tảng đặt chỗ và nhà cung cấp bảo trì. Chính mô hình này làm tăng rủi ro bảo mật, vì một điểm bị xâm nhập có thể ảnh hưởng đến nhiều tổ chức cùng lúc.
Trong thực tế, một tấn công mạng vào bất kỳ nút nào trong hệ sinh thái có thể dẫn đến trì hoãn chuyến bay, chuyển sang vận hành thủ công và gây gián đoạn lan rộng tới hành khách, lịch bay và quy trình xử lý hành lý.
Các sự cố nổi bật liên quan đến lỗ hổng CVE và ransomware
Tháng 9/2025, vụ tấn công mạng nhằm vào nền tảng xử lý hành khách MUSE của Collins Aerospace đã cho thấy mức độ phụ thuộc của ngành vào các nền tảng dùng chung. Sự cố này gây gián đoạn tại nhiều trung tâm hàng không lớn ở châu Âu, gồm Heathrow, Brussels, Berlin và Dublin. Sau đó, vụ việc được xác nhận có liên quan đến ransomware và buộc nhiều sân bay phải chuyển sang quy trình phục hồi thủ công.
Đây không phải là một lỗ hổng CVE đơn lẻ, nhưng sự kiện cho thấy tác động vận hành có thể tương đương một CVE nghiêm trọng khi hệ thống lõi bị xâm nhập và làm gián đoạn xử lý hành khách trên diện rộng.
Tháng 4/2026, nguồn tin trong ngành du lịch ghi nhận một làn sóng gián đoạn CNTT khác ảnh hưởng đến các sân bay châu Âu trong giai đoạn 4/4 đến 6/4. Tác động bao gồm check-in, boarding, xử lý hành lý và lịch bay. Dù chưa có quy kết kỹ thuật công khai đầy đủ, sự cố này tiếp tục phản ánh áp lực thường trực lên môi trường IT hàng không.
Vụ rò rỉ dữ liệu tại Tulsa Airports Improvement Trust
Trong tháng 1/2026, Tulsa Airports Improvement Trust xác nhận một bên thứ ba chưa được ủy quyền đã truy cập và lấy đi tệp tin từ hệ thống trong khoảng thời gian từ 17/1 đến 20/1. Theo dõi ransomware và báo cáo truyền thông sau đó liên hệ sự cố với nhóm Qilin, đồng thời cho biết tài liệu bị đánh cắp đã được đăng trên trang rò rỉ.
Trường hợp này là ví dụ điển hình của rò rỉ dữ liệu trong bối cảnh hệ thống bị tấn công, trong đó dữ liệu bị lộ không chỉ là hệ quả của mã hóa tệp mà còn của hành vi sao chép và tống tiền trước khi phát tán.
Threat intelligence về các họ mã độc và nhóm tấn công
Phân tích từ PolySwarm ghi nhận nhiều họ mã độc và nhóm tấn công đang nhắm vào ngành hàng không và hàng không vũ trụ. Các biến thể đáng chú ý gồm Qilin, LockBit và Cl0p. Bên cạnh đó là các nhóm Scattered Spider, Refined Kitten, Wicked Panda và Fancy Bear.
Từ góc độ threat intelligence, điểm đáng chú ý không chỉ nằm ở mã độc ransomware, mà còn ở sự đa dạng của động cơ và phương thức xâm nhập. Một số chiến dịch tập trung vào đánh cắp dữ liệu, số khác tập trung vào mã hóa hệ thống hoặc chiếm quyền điều khiển chuỗi cung ứng IT.
Bài phân tích liên quan có thể tham khảo thêm tại PolySwarm Blog.
IOC và dấu hiệu quan sát được
Trong nội dung gốc, không có IOC kỹ thuật dạng hash, IP, domain hoặc URL độc hại. Tuy nhiên, các thực thể liên quan được đề cập rõ ràng gồm:
- Qilin – ransomware được liên hệ với vụ truy cập trái phép tại Tulsa Airports Improvement Trust.
- LockBit – họ ransomware đang được theo dõi trong bối cảnh ngành hàng không.
- Cl0p – họ ransomware xuất hiện trong danh sách các mối đe dọa được ghi nhận.
- Scattered Spider – nhóm tấn công được liên hệ với xâm nhập dựa trên danh tính.
Identity-based intrusion là vector tấn công đáng lo ngại
Một trong những vector nguy hiểm nhất hiện nay là identity-based intrusion, đặc biệt khi kẻ tấn công lợi dụng help desk, nhà thầu hoặc tài khoản dùng chung. FBI đã cảnh báo trong năm 2025 rằng Scattered Spider mở rộng mục tiêu sang ngành hàng không.
Nhóm này thường sử dụng social engineering đối với bộ phận hỗ trợ, thao túng MFA, SIM swapping và giả mạo nhân viên hoặc nhà thầu. Trong môi trường hàng không, cách thức này hiệu quả hơn do phụ thuộc vào lực lượng lao động phân tán, nhà cung cấp IT bên thứ ba và quy trình định danh dùng chung.
Rủi ro tăng mạnh khi một tài khoản hoặc lớp định danh dùng chung bị xâm nhập. Khi đó, kẻ tấn công có thể mở rộng quyền truy cập sang nhiều tổ chức cùng lúc, làm gia tăng khả năng xâm nhập trái phép trên diện rộng.
Ảnh hưởng từ hệ thống vệ tinh và GNSS spoofing
Ngoài ransomware, ngành này còn đối mặt với rủi ro từ hệ thống phụ thuộc vệ tinh và GNSS spoofing. Hàng không vũ trụ phụ thuộc vào vệ tinh cho dẫn đường, liên lạc, dữ liệu thời tiết và theo dõi hoạt động.
Gián đoạn tại trạm mặt đất, đường truyền vệ tinh hoặc độ tin cậy tín hiệu có thể tạo ra tác động ngược dòng, đặc biệt với hàng không quân sự, các tuyến bay xa và khu vực chịu ảnh hưởng bởi xung đột địa chính trị.
Đây là một dạng nguy cơ bảo mật vận hành, nơi sự cố không nhất thiết bắt đầu từ phần mềm nội bộ mà có thể xuất phát từ môi trường tín hiệu và hạ tầng liên lạc bên ngoài.
Kiểm soát rủi ro và cập nhật bản vá trong môi trường hàng không
Các tổ chức trong ngành hàng không và hàng không vũ trụ cần coi nền tảng IT sân bay dùng chung là single point of failure có mức ưu tiên cao. Kế hoạch dự phòng cho vận hành thủ công phải được kiểm thử và cập nhật định kỳ để giảm tác động khi hệ thống bị tấn công.
Quy trình xác minh danh tính, đặc biệt tại help desk và với nhà thầu, cần vượt ra ngoài MFA tiêu chuẩn để chống social engineering và SIM swapping. Đây là lớp kiểm soát thiết yếu trong bối cảnh tấn công mạng dựa trên danh tính ngày càng phổ biến.
Nhà cung cấp trong chuỗi cung ứng hàng không nên được đánh giá định kỳ về mức độ trưởng thành bảo mật, nhất là các đơn vị khu vực nhỏ không có đội an ninh riêng. Khả năng chuẩn bị và cập nhật bản vá của họ có thể ảnh hưởng trực tiếp đến trạng thái an toàn của hệ sinh thái lớn hơn.
Khả năng chịu đựng đối với GNSS interference và phụ thuộc vệ tinh cũng cần được đưa vào kế hoạch resilience vận hành, đặc biệt với các tuyến bay và khu vực nhạy cảm.
CLI và kiểm tra kỹ thuật liên quan
Nội dung gốc không cung cấp lệnh khai thác, mã exploit hoặc cấu hình mẫu. Do đó, không có phần CLI hay remote code execution để trích xuất. Trong bối cảnh giám sát nội bộ, các đội bảo mật thường đối chiếu nhật ký truy cập, cảnh báo xác thực, và sự kiện thay đổi quyền để phát hiện xâm nhập sớm.
Đối với các nguồn thông tin kỹ thuật và cảnh báo sự cố, có thể đối chiếu thêm với CISA và NVD khi cần tra cứu CVE, CVSS hoặc bối cảnh lỗ hổng liên quan.
