Trong bối cảnh căng thẳng địa chính trị gia tăng, các nhóm tấn công có chủ đích (APT) hoặc tội phạm mạng đã và đang đẩy mạnh các chiến dịch tấn công, đặc biệt nhắm vào các quốc gia có liên quan đến các cuộc xung đột. Một trong những nhóm đáng chú ý là CyberAv3ngers, được xác định là nhóm tin tặc (hacktivists) thân Iran, được nhà nước hậu thuẫn. Mặc dù các hoạt động của nhóm này đôi khi được mô tả là “hacktivism” vì động cơ chính trị, nhưng các kỹ thuật và mục tiêu của chúng thường chồng chéo với các chiến dịch tấn công mạng nghiêm trọng, gây ra mối đe dọa đáng kể đối với an ninh mạng.
Phương pháp, Kỹ thuật và Quy trình (TTPs)
Các chiến dịch của CyberAv3ngers và các nhà điều hành mạng liên kết với Iran thường thể hiện một loạt các TTPs (Tactics, Techniques, and Procedures) có chủ đích, mặc dù chúng đôi khi được phân loại là các cuộc tấn công mạng cấp thấp. Khái niệm “cấp thấp” ở đây có thể đề cập đến sự phức tạp của công cụ hoặc kỹ thuật ban đầu, nhưng không làm giảm đi tác động tiềm tàng hoặc mục tiêu chiến lược của cuộc tấn công.
Các cuộc tấn công mạng cấp thấp và mục tiêu gây rối
Các cuộc tấn công mạng “cấp thấp” thường bao gồm các hành vi như tấn công từ chối dịch vụ phân tán (DDoS), làm biến dạng trang web (web defacement), hoặc các nỗ lực xâm nhập cơ bản khai thác các lỗ hổng đã biết rộng rãi hoặc cấu hình mặc định yếu kém. Đối với CyberAv3ngers, mục tiêu chính của các cuộc tấn công này là nhằm gây gián đoạn và thể hiện sức mạnh, thường mang tính biểu tượng hoặc chính trị. Chúng có thể nhắm vào các mạng lưới của Hoa Kỳ để gây ra sự hỗn loạn, làm suy yếu niềm tin vào hệ thống và tạo ra tiếng vang trên các phương tiện truyền thông.
Cụ thể hơn, các cuộc tấn công DDoS có thể làm quá tải các máy chủ và dịch vụ mạng, khiến chúng không thể truy cập được đối với người dùng hợp pháp. Các cuộc tấn công làm biến dạng trang web có thể thay đổi nội dung của một trang web hợp pháp thành các thông điệp chính trị hoặc hình ảnh tuyên truyền, gây tổn hại đến danh tiếng và sự tin cậy. Mặc dù có vẻ đơn giản, nhưng khi được thực hiện trên quy mô lớn hoặc chống lại các mục tiêu nhạy cảm, những cuộc tấn công này có thể gây ra thiệt hại đáng kể và buộc các tổ chức phải tiêu tốn nguồn lực đáng kể để khắc phục.
Các vụ xâm nhập có chủ đích
Song song với các cuộc tấn công cấp thấp, các nhà điều hành mạng liên kết với Iran cũng thực hiện các vụ xâm nhập có chủ đích. Điều này ám chỉ rằng các cuộc tấn công không chỉ là ngẫu nhiên mà được lên kế hoạch cẩn thận để nhắm vào các mục tiêu cụ thể. Các kỹ thuật xâm nhập có thể bao gồm phishing (lừa đảo), khai thác các lỗ hổng bảo mật chưa được vá (unpatched vulnerabilities) trong các ứng dụng web, hệ điều hành hoặc thiết bị mạng, hoặc sử dụng thông tin đăng nhập yếu/mặc định. Một khi đã xâm nhập thành công, các đối tượng tấn công có thể thực hiện nhiều hành vi độc hại khác nhau, từ trích xuất dữ liệu nhạy cảm đến cài đặt phần mềm độc hại (malware) để duy trì quyền truy cập hoặc gây ra sự phá hoại lớn hơn.
Việc nhắm mục tiêu cụ thể cho phép các đối tượng tấn công tối ưu hóa nỗ lực và tài nguyên của họ, tập trung vào các tổ chức hoặc cơ sở hạ tầng có giá trị cao nhất để đạt được mục tiêu chiến lược. Điều này đặc biệt đáng lo ngại khi các mục tiêu này bao gồm các mạng lưới thuộc về cơ sở hạ tầng trọng yếu (critical infrastructure) hoặc các tổ chức chính phủ.
Tấn công vào các mạng lưới và thiết bị kết nối Internet không được bảo mật tốt
Một trong những đặc điểm nổi bật của các chiến dịch này là việc khai thác các điểm yếu rõ ràng: các mạng lưới của Mỹ và các thiết bị kết nối Internet (Internet-connected devices) được bảo mật kém. “Bảo mật kém” có thể bao gồm việc thiếu cập nhật bảo mật định kỳ, sử dụng mật khẩu mặc định hoặc yếu, không triển khai xác thực đa yếu tố (MFA), và phơi bày các dịch vụ quản trị ra Internet công cộng mà không có lớp bảo vệ phù hợp.
Các thiết bị kết nối Internet, đặc biệt là các thiết bị trong lĩnh vực IoT (Internet of Things) và OT (Operational Technology), thường là mục tiêu dễ bị tổn thương. Điều này bao gồm camera an ninh, bộ định tuyến (routers), thiết bị ghi hình mạng (network video recorders – NVRs), hệ thống điều khiển công nghiệp (ICS/SCADA), và các thiết bị nhà thông minh. Nhiều thiết bị trong số này được triển khai với cấu hình mặc định dễ đoán, mật khẩu mặc định công khai hoặc các lỗ hổng đã biết mà không được vá. Việc khai thác những điểm yếu này cho phép các đối tượng tấn công dễ dàng giành quyền kiểm soát, sử dụng chúng làm bệ phóng cho các cuộc tấn công tiếp theo hoặc gây gián đoạn trực tiếp.
Mục tiêu cuối cùng của việc nhắm mục tiêu vào các hệ thống này là gây ra sự gián đoạn. Điều này có thể bao gồm việc vô hiệu hóa hoạt động của thiết bị, thay đổi cấu hình, xóa dữ liệu, hoặc sử dụng chúng để khởi động các cuộc tấn công DDoS quy mô lớn (thông qua các mạng botnet). Đối với các hệ thống OT, sự gián đoạn có thể dẫn đến các hậu quả vật lý nghiêm trọng, ảnh hưởng đến hoạt động của nhà máy, cơ sở tiện ích hoặc hệ thống giao thông.
Nền tảng bị khai thác
Các chiến dịch này chủ yếu nhắm vào các mạng lưới và thiết bị kết nối Internet tại Hoa Kỳ. Phạm vi rộng lớn này bao gồm các tổ chức thuộc mọi quy mô và lĩnh vực, từ các cơ quan chính phủ, tập đoàn lớn đến các doanh nghiệp nhỏ, và thậm chí cả các cá nhân sử dụng thiết bị kết nối Internet trong gia đình hoặc văn phòng.
Việc nhắm mục tiêu vào “các mạng lưới của Hoa Kỳ” là một mục tiêu chiến lược rộng, có thể bao gồm cơ sở hạ tầng quân sự, chính phủ, tài chính, năng lượng, và viễn thông. Các đối tượng tấn công tìm kiếm các điểm yếu trong chuỗi cung ứng, hệ thống IT nội bộ và các dịch vụ trực tuyến để xâm nhập và gây rối. Điều này nhấn mạnh sự cần thiết của một chiến lược phòng thủ toàn diện, không chỉ tập trung vào các mục tiêu lớn mà còn chú ý đến các mắt xích yếu hơn trong chuỗi an ninh.
Trong khi đó, việc khai thác “các thiết bị kết nối Internet ở Hoa Kỳ” cho thấy một xu hướng đáng lo ngại. Với sự gia tăng chóng mặt của các thiết bị IoT và sự kết nối mạng của các hệ thống OT truyền thống, bề mặt tấn công đã mở rộng đáng kể. Nhiều thiết bị trong số này thiếu các tính năng bảo mật cơ bản, cập nhật chậm chạp và thường được triển khai mà không có sự đánh giá rủi ro đầy đủ. Điều này tạo ra một lượng lớn các mục tiêu tiềm năng, cho phép các đối tượng tấn công tiến hành các cuộc tấn công theo kiểu “quét và khai thác” quy mô lớn, tìm kiếm bất kỳ lỗ hổng nào để xâm nhập.
Chi tiết hạ tầng và IOCs
Hiện tại, không có thông tin chi tiết cụ thể nào về các máy chủ chỉ huy và kiểm soát (C2 servers), địa chỉ IP hoặc tên miền (domains) được sử dụng bởi nhóm CyberAv3ngers hoặc các nhà điều hành mạng liên kết với Iran trong các chiến dịch này được công bố. Việc thiếu các chỉ số thỏa hiệp (IOCs – Indicators of Compromise) cụ thể như địa chỉ IP hoặc hàm băm (hashes) có thể là do tính chất nhanh chóng và phân tán của các cuộc tấn công, hoặc do các đối tượng tấn công sử dụng hạ tầng động, khó theo dõi. Các IOCs thường là những mảnh ghép quan trọng giúp các tổ chức phát hiện và phản ứng trước các cuộc tấn công đang diễn ra hoặc đã xảy ra.
Bối cảnh mối đe dọa
Môi trường mối đe dọa hiện tại được thúc đẩy bởi cuộc xung đột đang diễn ra với Iran. Bối cảnh địa chính trị này là động lực chính đằng sau các hoạt động của các nhóm như CyberAv3ngers. Các cuộc tấn công mạng thường được sử dụng như một công cụ của chính sách đối ngoại, cho phép các quốc gia thể hiện sức mạnh, gửi thông điệp, hoặc gây áp lực mà không cần đến các hành động quân sự truyền thống. Trong trường hợp này, các cuộc tấn công mạng nhắm vào các mạng lưới và thiết bị của Hoa Kỳ có thể được coi là một hình thức trả đũa, răn đe, hoặc để đạt được các mục tiêu chính trị liên quan đến cuộc xung đột.
Sự tham gia của các nhóm “hacktivist” được nhà nước hậu thuẫn làm cho mối đe dọa trở nên phức tạp hơn. Mặc dù họ có thể tự nhận là hoạt động độc lập với mục đích ý thức hệ, nhưng việc nhận được sự hỗ trợ từ chính phủ (dù là trực tiếp hay gián tiếp) cung cấp cho họ nguồn lực, công cụ, và đôi khi là thông tin tình báo mục tiêu, giúp tăng cường khả năng và phạm vi hoạt động của họ.
Biện pháp phòng ngừa và giảm thiểu
Để đối phó với các mối đe dọa từ các nhóm như CyberAv3ngers, các tổ chức cần triển khai một chiến lược bảo mật đa lớp và chủ động. Các biện pháp này không chỉ áp dụng cho các mục tiêu có khả năng bị tấn công trực tiếp mà còn cho toàn bộ chuỗi cung ứng và cơ sở hạ tầng liên quan.
- Quản lý lỗ hổng và vá lỗi định kỳ: Đây là biện pháp cơ bản nhưng cực kỳ quan trọng. Đảm bảo rằng tất cả hệ điều hành, ứng dụng, phần mềm, và thiết bị mạng đều được cập nhật các bản vá bảo mật mới nhất để khắc phục các lỗ hổng đã biết.
- Quản lý thông tin xác thực mạnh mẽ: Thực thi chính sách mật khẩu mạnh, phức tạp và duy nhất cho tất cả các tài khoản. Triển khai xác thực đa yếu tố (MFA) cho mọi dịch vụ và tài khoản có thể, đặc biệt là các tài khoản quản trị và tài khoản truy cập từ xa.
- Phân đoạn mạng: Chia nhỏ mạng lưới thành các phân đoạn riêng biệt và áp dụng các chính sách kiểm soát truy cập nghiêm ngặt giữa các phân đoạn. Điều này giúp hạn chế sự lây lan của các cuộc tấn công nếu một phần của mạng bị xâm nhập.
- Bảo mật thiết bị IoT/OT: Thực hiện kiểm kê tất cả các thiết bị IoT và OT. Đảm bảo rằng chúng được cấu hình an toàn, thay đổi mật khẩu mặc định, và nếu có thể, cô lập chúng khỏi mạng lưới doanh nghiệp chính. Cân nhắc sử dụng các giải pháp giám sát chuyên biệt cho môi trường OT.
- Giám sát và Phát hiện mối đe dọa: Triển khai các hệ thống SIEM (Security Information and Event Management), IDS/IPS (Intrusion Detection/Prevention Systems), và Endpoint Detection and Response (EDR) để liên tục giám sát lưu lượng mạng, hành vi người dùng và các hoạt động trên điểm cuối. Thiết lập cảnh báo để phát hiện sớm các dấu hiệu xâm nhập hoặc hoạt động bất thường.
- Đào tạo và nâng cao nhận thức: Huấn luyện nhân viên về các mối đe dọa phishing, kỹ thuật xã hội (social engineering) và các phương pháp tấn công khác để họ có thể nhận diện và báo cáo các nỗ lực xâm nhập.
- Sao lưu và kế hoạch phục hồi thảm họa: Thực hiện sao lưu dữ liệu quan trọng định kỳ và có kế hoạch phục hồi thảm họa chi tiết để nhanh chóng khôi phục hoạt động sau một cuộc tấn công.
- Đánh giá bảo mật thường xuyên: Thực hiện kiểm tra thâm nhập (penetration testing), đánh giá lỗ hổng (vulnerability assessments) và kiểm toán bảo mật định kỳ để xác định và khắc phục các điểm yếu.
