Các nhà phân tích mối đe dọa tại Silent Push vừa công bố phát hiện về sự thay đổi cơ sở hạ tầng lớn của nhà cung cấp dịch vụ bulletproof hosting Aeza Group. Tổ chức này đã bị Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) thuộc Bộ Tài chính Hoa Kỳ chỉ định và trừng phạt vào ngày 1 tháng 7 vì hành vi tạo điều kiện cho các hoạt động tội phạm mạng toàn cầu. Sự dịch chuyển này làm nổi bật những thách thức liên tục trong cuộc chiến chống lại các mối đe dọa mạng tinh vi.
Sự Chuyển Đổi Hạ Tầng Của Aeza Group Nhằm Tránh Trừng Phạt
Theo nguồn cấp dữ liệu IOFA™ (Indicators of Future Attack) của Silent Push, các dải địa chỉ IP quan trọng trước đây nằm trong Hệ thống Tự trị (Autonomous System – AS) 210644 của Aeza hiện đang được công bố dưới một thực thể mới đăng ký, AS211522, được vận hành bởi một công ty có tên là Hypercore LTD. Sự tái phân bổ không gian địa chỉ IP nhanh chóng này, được phát hiện tự động và theo thời gian thực, dường như được thiết kế để né tránh việc thực thi các lệnh trừng phạt của OFAC và cho phép tiếp tục các hoạt động phi pháp.
Bản Chất Của Dịch Vụ Bulletproof Hosting
Bulletproof hosting (dịch vụ hosting chống đạn) đề cập đến các dịch vụ mạng bền vững, thân thiện với tội phạm. Các nhà cung cấp dịch vụ này thường phớt lờ các khiếu nại về lạm dụng và tích cực chống lại các nỗ lực gỡ bỏ bởi cơ quan thực thi pháp luật hoặc các nhà nghiên cứu bảo mật. Mục tiêu chính của họ là cung cấp một môi trường hoạt động ổn định và bền vững cho các hoạt động phi pháp, bất chấp các nỗ lực ngăn chặn. Điều này tạo ra một lớp bảo vệ vững chắc cho kẻ tấn công, khiến việc truy vết và vô hiệu hóa cơ sở hạ tầng của chúng trở nên khó khăn hơn.
Các dịch vụ bulletproof hosting thường được sử dụng cho nhiều hoạt động độc hại, bao gồm:
- Triển khai mã độc tống tiền (ransomware deployments).
- Đánh cắp dữ liệu quy mô lớn (large-scale data exfiltration).
- Lưu trữ các trang web lừa đảo (phishing campaigns).
- Hỗ trợ các thị trường chợ đen (darknet marketplaces).
Aeza Group và Lệnh Trừng Phạt của OFAC
Aeza Group, cùng với hai công ty liên kết và bốn cá nhân, đã bị OFAC nhắm mục tiêu vì cung cấp cơ sở hạ tầng máy chủ “chống đạn” cho phép triển khai mã độc tống tiền, đánh cắp dữ liệu quy mô lớn và buôn bán ma túy trên darknet. Các lệnh trừng phạt này đóng băng bất kỳ tài sản nào của Aeza có trụ sở tại Hoa Kỳ và cấm công dân Hoa Kỳ tham gia vào bất kỳ giao dịch nào với tổ chức hoặc các đối tác của nó. Mục đích của các lệnh trừng phạt là cắt đứt nguồn tài chính và khả năng hoạt động của các nhóm tội phạm mạng.
Việc trừng phạt một nhà cung cấp bulletproof hosting như Aeza là một bước đi quan trọng trong nỗ lực ngăn chặn các hoạt động tội phạm mạng ở cấp độ hạ tầng. Tuy nhiên, như sự kiện này cho thấy, các tổ chức tội phạm có khả năng thích ứng và tìm cách lách luật để tiếp tục hoạt động.
Chi Tiết Kỹ Thuật Về Sự Chuyển Dịch AS
Các nhà phân tích của Silent Push lần đầu tiên gắn thẻ các Hệ thống Tự trị của Aeza – AS216246 và AS210644 – là mạng lưới bulletproof hosting vào đầu năm 2025. Họ đã quan sát một mô hình phân bổ địa chỉ IP nhanh chóng, tính minh bạch tối thiểu về quyền sở hữu và các báo cáo lạm dụng thường xuyên. Đây là những dấu hiệu nhận biết điển hình của các nhà cung cấp hosting có mục đích mờ ám.
Vào ngày 20 tháng 7, nguồn cấp dữ liệu IOFA™ tự động của Silent Push đã báo hiệu rằng subnet 83.147.192.0/24, trước đây được ghim vào AS210644, giờ đây xuất hiện dưới AS211522. Đây là một phát hiện quan trọng, cho thấy một sự thay đổi cơ bản trong cơ sở hạ tầng.
Phân Tích Dữ Liệu BGP và Dấu Hiệu Di Chuyển Có Chủ Đích
Một phân tích kỹ lưỡng hơn về dữ liệu BGP (Border Gateway Protocol) công khai đã xác nhận rằng cùng một khối địa chỉ IP đã bắt đầu được công bố đồng thời bởi cả AS210644 và AS211522. Đây là một chỉ số mạnh mẽ cho thấy sự di chuyển có chủ đích, chứ không phải chỉ là một lỗi cấu hình đơn thuần. Dữ liệu BGP đóng vai trò quan trọng trong việc định tuyến lưu lượng internet và mọi thay đổi bất thường đều có thể được theo dõi để phát hiện xâm nhập và các hoạt động đáng ngờ.
“Kiểu công bố kép này là một dấu hiệu đỏ rõ ràng,” Maya Ortiz, Chuyên gia Phân tích Mối đe dọa Cấp cao tại Silent Push, giải thích. “Nó cho chúng ta biết các nhà điều hành đang di chuyển tài sản đằng sau hậu trường, có khả năng để tránh bị phát hiện và tiếp tục hỗ trợ các băng nhóm mã độc tống tiền, các chiến dịch lừa đảo và các thị trường chợ đen mà không bị gián đoạn.” Đây là một ví dụ điển hình về cách các chuyên gia phân tích dữ liệu mạng để nhận diện các hoạt động độc hại.
Sự Tăng Trưởng Bất Thường Của AS Mới
Silent Push báo cáo rằng AS211522 chỉ mới được phân bổ vào ngày 10 tháng 7 năm 2025, nhưng đã nắm giữ hơn 2.100 địa chỉ IP – một sự gia tăng bất thường nhanh chóng, phản ánh hành vi trước đây của Aeza. Tốc độ tăng trưởng này cho thấy một nỗ lực có tổ chức để thiết lập một cơ sở hạ tầng mới một cách nhanh chóng, nhằm duy trì hoạt động tội phạm.
Tác Động Và Phản Ứng Của Cộng Đồng Bảo Mật
Các chuyên gia trong ngành tin rằng sự chuyển đổi này có thể đại diện cho một nỗ lực đổi tên đơn giản của Aeza Group hoặc một sự chuyển giao tài nguyên cho một thực thể liên kết chặt chẽ, sẵn sàng đảm nhận hoạt động hosting dưới một vỏ bọc mới. Jordan Fischer, một nhà tư vấn an ninh mạng độc lập, lưu ý: “Các nhà cung cấp bulletproof hosting biết rằng việc thực thi pháp luật đang bắt kịp, vì vậy họ thường xuyên tự tái thiết lập mình dưới dạng các công ty hoặc hệ thống tự trị mới.” Điều này tạo ra một vòng tuần hoàn khó khăn cho các cơ quan thực thi pháp luật và các nhà nghiên cứu bảo mật.
Trước tình hình này, cộng đồng bảo mật cần nâng cao cảnh giác và thực hiện các biện pháp phòng ngừa cần thiết. Chúng tôi kêu gọi các nhà điều hành mạng và các đội bảo mật chặn AS mới này và chia sẻ bất kỳ chỉ số bổ sung nào với cơ quan thực thi pháp luật. Sự hợp tác và chia sẻ thông tin là yếu tố then chốt để chống lại các mối đe dọa mạng đang phát triển.
Chỉ Số Nhận Dạng (IOCs) Liên Quan
Dưới đây là các chỉ số nhận dạng (Indicators of Compromise – IOCs) liên quan đến sự chuyển đổi hạ tầng của Aeza Group và Hypercore LTD, được Silent Push công bố tại nguồn thông tin chính thức:
- Autonomous System Numbers (ASNs):
- AS210644 (Aeza Group – cũ)
- AS216246 (Aeza Group – cũ)
- AS211522 (Hypercore LTD – mới)
- Subnet:
- 83.147.192.0/24
- Tổ chức liên quan đến OFAC Sanctions:
- Aeza Group
- Hypercore LTD (liên quan đến AS211522)
Các tổ chức nên xem xét chặn các ASN và dải IP này trên tường lửa và hệ thống phòng thủ mạng của mình để giảm thiểu rủi ro tiếp xúc với các hoạt động độc hại. Việc cập nhật các IOCs này vào hệ thống phát hiện xâm nhập (IDS/IPS) là rất quan trọng để chủ động bảo vệ cơ sở hạ tầng.
Vai Trò Của Threat Intelligence Trong Ngăn Chặn Các Cuộc Tấn Công
Các nhà phân tích mối đe dọa của Silent Push đã cam kết tiếp tục giám sát AS211522 và cơ sở hạ tầng liên quan, đồng thời mời cộng đồng bảo mật rộng lớn hơn cung cấp các mẹo và dữ liệu xác thực. Nguồn cấp dữ liệu IOFA™ của họ nhằm mục đích trang bị cho các nhà phòng thủ khả năng hiển thị sớm, có thể hành động – theo dõi các dịch vụ hosting độc hại và các tài sản khác của kẻ tấn công trước khi chúng xuất hiện trong các chiến dịch thực tế. Đây là một ví dụ điển hình về giá trị của threat intelligence (tình báo mối đe dọa) chủ động.
Khi Aeza Group và những người kế nhiệm của nó thích nghi, thông tin tình báo theo thời gian thực này sẽ đóng vai trò quan trọng trong việc phá vỡ cơ sở hạ tầng làm nền tảng cho các mối đe dọa mạng trong tương lai. Để có được một bức tranh toàn diện về các rủi ro tiềm ẩn, các tổ chức cần liên tục theo dõi các báo cáo threat intelligence từ các nguồn đáng tin cậy.
Việc hiểu rõ cách thức hoạt động của các nhà cung cấp bulletproof hosting và khả năng thích nghi của chúng là điều cần thiết để xây dựng một chiến lược bảo mật hiệu quả. Các tổ chức cần áp dụng một cách tiếp cận chủ động, không chỉ phản ứng với các cuộc tấn công mà còn dự đoán và ngăn chặn chúng từ giai đoạn sớm nhất. Điều này bao gồm việc tích hợp dữ liệu threat intelligence vào các quy trình bảo mật và sử dụng các công cụ phát hiện xâm nhập tiên tiến.
Sự kiện về Aeza Group là một lời nhắc nhở rõ ràng rằng cuộc chiến chống tội phạm mạng là một cuộc đua không ngừng nghỉ. Khi một lỗ hổng được vá, một hạ tầng bị trừng phạt, những kẻ tấn công sẽ tìm ra cách mới để hoạt động. Do đó, việc duy trì một tư duy cảnh giác, chủ động và liên tục cập nhật kiến thức về các mối đe dọa mạng mới nhất là cực kỳ quan trọng đối với mọi chuyên gia an ninh mạng và tổ chức.
