Các cuộc tấn công mạng lớn nhắm vào ngành hàng không năm 2025

Năm 2025, ngành hàng không đối mặt làn sóng tấn công mạng gia tăng, từ DDoS, mã độc tống tiền đến rò rỉ dữ liệu, đe dọa nghiêm trọng hoạt động và an toàn thông tin.

Năm 2025, ngành hàng không tiếp tục là mục tiêu chính của tấn công mạng. Là hạ tầng trọng yếu, lĩnh vực này luôn nằm trong tầm ngắm của các nhóm tin tặc.

Các hãng hàng không và sân bay phụ thuộc lớn vào hệ thống kỹ thuật số để vận hành, khiến nguy cơ tấn công mạng tăng cao. Các vụ việc, từ mã độc tống tiền đến mua bán dữ liệu đánh cắp, xuất hiện thường xuyên và nhiều trường hợp liên quan đến dark web.

Điều này phản ánh rủi ro khi ngành ngày càng dựa vào công nghệ kết nối. Hệ thống kỹ thuật số quản lý mọi hoạt động, từ lịch bay đến dữ liệu hành khách, tạo sức hút lớn với tội phạm mạng và hacktivist.

Một cuộc tấn công thành công có thể làm gián đoạn hoạt động, buộc chuyến bay ngừng cất cánh và gây thiệt hại tài chính nặng nề. Với phạm vi toàn cầu của ngành hàng không, tác động của các vụ việc này lan rộng, ảnh hưởng đến hàng triệu người.

Sự kết hợp giữa tầm quan trọng chiến lược và tính dễ tổn thương khiến hàng không trở thành mục tiêu hấp dẫn và liên tục của các mối đe dọa mạng.

Bức tranh toàn cảnh các mối đe dọa mạng trong ngành hàng không năm 2025

Năm 2025, hàng không tiếp tục là mục tiêu hàng đầu của các nhóm tấn công mạng. Cơ sở hạ tầng dân dụng và hệ thống của các hãng hàng không thương mại thu hút sự chú ý ngày càng lớn. Các vụ tấn công trải rộng từ hacktivist mang động cơ chính trị đến xâm nhập vì lợi ích tài chính, với nhiều chiến thuật và mục tiêu khác nhau.

Một xu hướng nổi bật là gia tăng các chiến dịch tấn công từ chối dịch vụ phân tán (DDoS) nhằm vào sân bay và cơ quan hàng không. Các nhóm như Z-PENTEST Alliance, Noname057(16) và Dark Storm Team thường nhận trách nhiệm.

Song song đó, các tác nhân khác lại hoạt động tinh vi hơn, hướng tới lợi nhuận. Họ bị cáo buộc mua bán quyền truy cập ban đầu vào hệ thống liên kết với hãng hàng không, mở đường cho các mối đe dọa thứ cấp như mã độc tống tiền hoặc đánh cắp dữ liệu.

Mỹ là quốc gia bị nhắm tới nhiều nhất, một phần vì quy mô và sự hiện diện toàn cầu của hạ tầng hàng không, phần khác vì giá trị biểu tượng trong xung đột mạng địa chính trị.

Pháp, Trung Quốc, Ấn Độ và Anh cũng thường xuyên xuất hiện trong các bài đăng của giới tấn công mạng. Một số vụ liên quan đến rò rỉ dữ liệu, số khác nằm trong chiến dịch khu vực nhằm gây gián đoạn hoặc thu hút chú ý truyền thông.

Các cuộc tấn công vào hãng hàng không thương mại

Qantas Airways (Úc) - rò rỉ dữ liệu

Cuối tháng 6, Qantas phát hiện hoạt động trái phép trên nền tảng của bên thứ ba mà trung tâm liên lạc hãng sử dụng. Đầu tháng 7, hãng xác nhận dữ liệu cá nhân của khoảng 5,7 triệu khách hàng bị lộ, gồm thông tin thành viên chương trình Frequent Flyer và dữ liệu cá nhân như địa chỉ, số điện thoại, ngày sinh, giới tính, tùy chọn bữa ăn.

Không có mật khẩu, dữ liệu thanh toán hay thông tin hộ chiếu bị xâm phạm. Hãng đã liên hệ với khách hàng và triển khai thêm các biện pháp bảo mật.

WestJet Airlines (Canada) - xâm nhập hệ thống

Ngày 13/6, WestJet ghi nhận sự cố mạng ảnh hưởng một phần hạ tầng kỹ thuật số, gây gián đoạn ứng dụng di động và hệ thống nội bộ. Hoạt động bay không bị tác động, nhưng một số dịch vụ trực tuyến gián đoạn. Hãng phối hợp cơ quan chức năng điều tra, nghi liên quan tới nhóm Scattered Spider.

Hawaiian Airlines (Mỹ) - gián đoạn hệ thống

Ngày 26/6, Hawaiian Airlines bị tấn công nghi bằng mã độc tống tiền. Một số hệ thống nội bộ và kênh liên lạc bị ảnh hưởng, song chuyến bay vẫn an toàn và đúng lịch. Sự việc cũng bị nghi do Scattered Spider thực hiện.

Tấn công vào sân bay và hạ tầng hàng không

Sân bay quốc tế Los Angeles (Mỹ) - tấn công DDoS hồi tháng 3

Sân bay Los Angeles

Ngày 18/3, nhóm hacktivist Dark Storm Team tấn công DDoS, làm gián đoạn màn hình thông tin, xử lý hành lý và quầy check-in. Không chuyến bay nào bị hủy, nhưng có chậm trễ và hỗn loạn tạm thời.

Sân bay Hartsfield-Jackson Atlanta (Mỹ) – DDoS thất bại

Ngày 28/3, sân bay này bị tấn công DDoS nhưng hệ thống phòng thủ đã chặn kịp thời. Chỉ website bị gián đoạn tạm thời.

Sân bay quốc tế Kuala Lumpur (Malaysia) - tấn công ransomware vào hồi tháng 3

KLIA bị tấn công mạng hồi tháng 3

Ngày 23/3, KLIA bị tấn công mã độc tống tiền, hệ thống ngừng hoạt động hơn 10 giờ. Nhóm Qilin nhận trách nhiệm, đòi 10 triệu USD và tuyên bố đánh cắp 2 TB dữ liệu. Chính phủ Malaysia từ chối trả tiền.

Hoạt động trên dark web

Bên cạnh các vụ tấn công mạng đã được xác nhận, nhiều nhóm tin tặc chuyển sang các nền tảng dark web để tuyên bố vi phạm dữ liệu của hãng hàng không, sân bay và nhà cung cấp dịch vụ. Các bài đăng thường kèm mẫu dữ liệu, ảnh chụp màn hình hoặc chi tiết kỹ thuật, nhưng phần lớn chưa được xác minh.

Một số thông tin có thể chỉ là dữ liệu thử nghiệm, nội dung cũ hoặc bị phóng đại. Tuy vậy, chúng cho thấy nguy cơ ngày càng lớn đối với ngành hàng không trên các diễn đàn ngầm và chợ dữ liệu bất hợp pháp.

Cáo buộc rò rỉ tin nhắn SMS của United Airlines

Nhóm tin tặc Machine1337 tuyên bố trên diễn đàn Nga và Telegram đã rò rỉ 272 triệu tin nhắn SMS liên quan đến United Airlines. Mẫu dữ liệu chứa thông tin chuyến bay thật và liên kết hợp lệ đến gofly.united.com, tạo ấn tượng ban đầu đáng tin cậy.

Bài đăng về vụ rò rỉ dữ liệu của United Airlines trên diễn đàn hacker

Tuy nhiên, tất cả tin nhắn đều có nhãn FakeDLR – thuật ngữ thường xuất hiện trong thử nghiệm nội bộ. Phần lớn số điện thoại không có dữ liệu định danh hay thông tin đăng nhập.

Nhóm này từng nhiều lần đưa ra tuyên bố sai sự thật. Điển hình là vụ “rò rỉ” tin nhắn SMS của Steam, nhưng cả Valve và Twilio đều bác bỏ. Khi đó, Valve khẳng định dữ liệu chỉ là thông tin lịch sử, không phải kết quả tấn công.

Với các dấu hiệu thử nghiệm và lịch sử đăng tin gây hiểu lầm, vụ rò rỉ lần này nhiều khả năng chỉ là dữ liệu giả lập, không phải thông tin khách hàng thực.

Vi phạm cơ sở dữ liệu tuyển dụng của ICAO

Tháng 1/2025, Tổ chức Hàng không Dân dụng Quốc tế (ICAO) xác nhận bị tấn công vào nền tảng tuyển dụng. Nhóm Natohub tuyên bố đã đánh cắp khoảng 42.000 hồ sơ xin việc từ tháng 4/2016 đến tháng 7/2024.

Kẻ tấn công tuyên bố đã xâm phạm ICAO

ICAO sau đó làm rõ, vụ việc chỉ ảnh hưởng đến 11.929 cá nhân. Dữ liệu bị xâm nhập gồm tên, email, ngày sinh và lịch sử làm việc. Không có thông tin ngân hàng, mật khẩu, hộ chiếu hoặc tài liệu đính kèm nào bị lộ.

Sự cố chỉ giới hạn ở cơ sở dữ liệu tuyển dụng, không ảnh hưởng đến hệ thống an toàn hay an ninh hàng không. ICAO đang điều tra và cho rằng thủ phạm là một nhóm chuyên nhắm vào các tổ chức quốc tế.

Rao bán quyền truy cập VPN trái phép của công ty hàng không Mỹ

Một bài đăng trên dark web rao bán quyền truy cập VPN được cho là của một hãng hàng không Mỹ.Người rao bán đưa giá khởi điểm 1.000 USD, tăng dần 500 USD mỗi bước và giá “mua ngay” là 5.000 USD.Thông tin đi kèm cho biết công ty này có doanh thu hằng năm 93 triệu USD.

Việc lộ quyền truy cập VPN tiềm ẩn nguy cơ lớn cho hệ thống nội bộ và dữ liệu nhạy cảm.Trong ngành hàng không, sự cố kiểu này có thể gây hậu quả nghiêm trọng cả về hoạt động lẫn uy tín.

Nhóm hacktivist tấn công DDoS sân bay Milan Bergamo

Nhóm Noname057(16) phát động tấn công DDoS, khiến website sân bay Milan Bergamo (Ý) tê liệt. Nhóm này nhận trách nhiệm và tuyên bố sẽ tiếp tục tấn công các trang web khác của Ý.

Vụ việc cho thấy các nhóm hacktivist tiếp tục coi ngành hàng không là mục tiêu trong chiến dịch tấn công có động cơ chính trị. Sự cố cũng nhấn mạnh tính dễ tổn thương của hạ tầng hàng không trước các mối đe dọa mạng.

Chuẩn bị cho làn sóng đe dọa tiếp theo

Hơn nửa đầu năm 2025 cho thấy ngành hàng không đang là mục tiêu hàng đầu của tin tặc. Từ mã độc tống tiền đến DDoS, các vụ tấn công không chỉ là sự cố kỹ thuật mà còn bộc lộ điểm yếu trong khả năng phục hồi số và duy trì hoạt động.

Trong tương lai, tội phạm mạng sẽ gia tăng tấn công tống tiền dữ liệu, tận dụng AI để lừa đảo và giả mạo giọng nói, video. Nguy cơ từ nhà cung cấp bên thứ ba vẫn là điểm yếu lớn.

Các hãng hàng không và sân bay cần chủ động phòng thủ nhiều lớp, áp dụng xác thực đa yếu tố, phân tách mạng, mã hóa mạnh, giám sát bằng AI và chia sẻ thông tin tình báo thời gian thực. Đào tạo nhân viên, diễn tập ứng phó và chuẩn bị quy trình thủ công là yếu tố then chốt để đảm bảo hoạt động liên tục.

Khả năng phục hồi phải trở thành ưu tiên số một. Những bài học từ các vụ tấn công năm 2025 cần được biến thành hành động, để ngành hàng không giữ bầu trời vừa rộng mở vừa an toàn.