Kể từ khi cuộc xung đột Nga-Ukraine leo thang vào năm 2022, bối cảnh tội phạm mạng đã có những thay đổi đáng kể, trong đó hacktivism nổi lên như một công cụ mạnh mẽ trong các tranh chấp địa chính trị. Năm 2025, các nhóm hacktivist thân Nga và thân Ukraine tiếp tục cuộc chiến song song trong không gian mạng, sử dụng các chiến thuật như tấn công từ chối dịch vụ phân tán (DDoS), làm biến dạng trang web và vi phạm dữ liệu để gây ảnh hưởng đến diễn biến xung đột.
Hacktivism và Bối cảnh Xung đột Nga-Ukraine
Sự Leo thang và Vai trò của Hacktivism
Kể từ khi xung đột bùng nổ, hacktivism đã trở thành một phần không thể thiếu trong các hoạt động chiến tranh phi đối xứng. Các nhóm hacktivist, được thúc đẩy bởi ý thức hệ hoặc mục tiêu chính trị, tiến hành các cuộc tấn công mạng nhằm phá vỡ hoạt động, đánh cắp thông tin hoặc làm mất uy tín các đối thủ. Các chiến thuật phổ biến bao gồm:
- Tấn công DDoS: Nhằm làm quá tải máy chủ hoặc mạng lưới, khiến các dịch vụ trực tuyến không thể truy cập được.
- Làm biến dạng trang web (Website Defacement): Thay đổi nội dung trang web để truyền tải thông điệp chính trị hoặc tuyên truyền.
- Vi phạm dữ liệu (Data Breaches): Đánh cắp thông tin nhạy cảm từ các tổ chức chính phủ, quân sự hoặc doanh nghiệp để công bố hoặc sử dụng cho mục đích gián điệp.
Tác động của Bối cảnh Địa chính trị năm 2025
Bối cảnh địa chính trị đang thay đổi, đặc biệt là những bất ổn về sự hỗ trợ quân sự của Hoa Kỳ cho Ukraine sau lễ nhậm chức của Tổng thống Donald Trump vào tháng 1 năm 2025, đã thúc đẩy hơn nữa các chiến dịch tấn công mạng này. Các quốc gia châu Âu, lo ngại về sự giảm sút trong vai trò của Hoa Kỳ, đã tăng cường chi tiêu quốc phòng và viện trợ cho Ukraine. Điều này đã dẫn đến sự gia tăng đáng kể các cuộc tấn công mạng trả đũa từ các nhóm thân Nga.
Ví dụ điển hình là sau khi Bộ trưởng Ngoại giao Litva Kestutis Budrys chỉ trích các chiến thuật của Nga vào tháng 5 năm 2025, các nhóm như NoName057(16), Dark Storm Team, và ServerKillers đã phát động chiến dịch #OpLithuania. Chiến dịch này nhắm mục tiêu vào các tổ chức chính phủ và lĩnh vực tài chính của Litva bằng các cuộc tấn công DDoS có phối hợp, gây gián đoạn dịch vụ và thiệt hại đáng kể.
Các Tổ chức Hacktivist Thân Nga Nổi bật
NoName057(16): Lực lượng Chủ chốt của Hacktivism Thân Nga
Kể từ khi thành lập vào tháng 3 năm 2022, NoName057(16) đã củng cố vị thế của mình là một trong những nhóm hacktivist thân Nga hàng đầu. Nhóm này đã vượt qua các tiền nhiệm như KillNet, vốn đã chuyển trọng tâm sang các hoạt động tội phạm mạng với động cơ tài chính. NoName057(16) thường xuyên nhắm mục tiêu vào các quốc gia thành viên NATO và những nước ủng hộ Ukraine, lợi dụng các sự kiện thời sự như thông báo viện trợ quân sự để biện minh cho các cuộc tấn công và tập hợp các phe phái hacktivist khác.
Dự án DDoSia của NoName057(16) là một công cụ tấn công mã nguồn mở được phát triển bằng ngôn ngữ lập trình Go. Công cụ này cho phép các tình nguyện viên tham gia vào các chiến dịch DDoS một cách dễ dàng. Để khuyến khích sự tham gia, những người đóng góp hàng đầu thường được thưởng bằng tiền điện tử, tạo ra một mô hình “crowdsourcing” cho các cuộc tấn công mạng.
Các Nhóm Mới Nổi: IT Army of Russia và TwoNet
Bên cạnh các nhóm đã có tên tuổi, nhiều nhóm mới cũng đã nổi lên, mang lại động lực mới cho các nỗ lực tấn công mạng thân Nga:
- IT Army of Russia: Xuất hiện vào cuối tháng 3 năm 2025, nhóm này tập trung vào các hoạt động đánh cắp dữ liệu thông qua các lỗ hổng SQL injection và tấn công DDoS nhằm vào hạ tầng Ukraine. Ngoài ra, nhóm còn tìm kiếm thông tin nội bộ thông qua các kênh Telegram, cho thấy một nỗ lực kết hợp giữa tấn công kỹ thuật và thu thập tình báo.
- TwoNet: Với khoảng 40 thành viên, TwoNet nổi lên vào tháng 1 năm 2025 và nhắm mục tiêu vào các tổ chức ở Tây Ban Nha, Ukraine và Vương quốc Anh, chủ yếu trong các lĩnh vực hàng không và chính phủ. Nhóm này sử dụng các công cụ chuyên biệt như MegaMedusa Machine cho các hoạt động DDoS của mình. Sự hợp tác của TwoNet với các nhóm khác như Dark Storm và Sector 16 cho thấy một mạng lưới liên minh đang phát triển, giúp khuếch đại tác động của chúng.
Mối liên hệ giữa Hacktivism và Nhà nước
Các câu hỏi về sự can thiệp của nhà nước, đặc biệt là các cáo buộc về mối liên hệ giữa chính phủ Nga với các nhóm như Cyber Army of Russia Reborn (CARR), vẫn đang được đặt ra. Bộ Tài chính Hoa Kỳ đã áp đặt các lệnh trừng phạt vào năm 2024 đối với các thành viên của CARR là Yuliya Pankratova và Denis Degtyarenko.
Hơn nữa, các phát hiện của Mandiant đã liên kết CARR với Seashell Blizzard (APT44) – một nhóm được cho là có liên hệ với Tổng cục Tình báo Quân đội Nga (GRU). Những bằng chứng này cho thấy một cơ chế “phủ nhận hợp lý” (plausible deniability) có thể được sử dụng bởi các chính phủ trong các hoạt động tấn công mạng được tài trợ bởi nhà nước.
Một nghiên cứu vào tháng 1 năm 2025 của nhà cung cấp OSINT (Open-Source Intelligence) Molfar của Ukraine cũng tuyên bố có mối liên hệ giữa các thành viên NoName057(16) và các cấu trúc nhà nước Nga, mặc dù những cáo buộc này vẫn chưa được xác minh độc lập.
Mở rộng Phạm vi Hoạt động và Tác động Toàn cầu
Mục tiêu Ngoài Châu Âu
Ngoài Châu Âu, các nhóm thân Nga như TwoNet và ServerKillers đã mở rộng các cuộc tấn công sang các mục tiêu của Israel. Điều này xảy ra sau các hành động quân sự của Israel chống lại Iran vào tháng 6 năm 2025, phản ánh sự liên kết địa chính trị rộng lớn hơn khi Iran đã hỗ trợ Nga bằng công nghệ máy bay không người lái. Sự mở rộng này cho thấy các nhóm hacktivist không chỉ hoạt động trong khuôn khổ xung đột Nga-Ukraine mà còn phản ứng với các diễn biến địa chính trị toàn cầu khác.
Rủi ro đối với Hạ tầng Thiết yếu
Khi các liên minh hacktivist được củng cố và các công cụ tấn công trở nên dễ tiếp cận hơn, sự giao thoa giữa chiến tranh mạng và chính trị toàn cầu tiếp tục gây ra những rủi ro đáng kể cho hạ tầng thiết yếu trên toàn thế giới. Các ngành như năng lượng, tài chính, giao thông vận tải và chính phủ ngày càng trở thành mục tiêu của các cuộc tấn công mạng từ các nhóm có động cơ chính trị.
Để giảm thiểu các mối đe dọa đang phát triển này, việc triển khai các biện pháp phòng thủ an ninh mạng mạnh mẽ là cực kỳ cần thiết. Điều này bao gồm:
- Tăng cường khả năng phát hiện và phản ứng với các cuộc tấn công.
- Triển khai các hệ thống bảo vệ DDoS và tường lửa ứng dụng web (WAF).
- Thực hiện các bản vá lỗi bảo mật kịp thời và quản lý lỗ hổng hiệu quả.
- Đào tạo nhận thức về an ninh mạng cho nhân viên.
Bên cạnh đó, hợp tác quốc tế trong chia sẻ thông tin tình báo về mối đe dọa và phối hợp ứng phó là rất quan trọng để chống lại các chiến dịch hacktivism xuyên biên giới. Sự phát triển liên tục của hacktivism nhấn mạnh tầm quan trọng của việc chủ động trong an ninh mạng để bảo vệ các tài sản kỹ thuật số quan trọng.
Indicators of Compromise (IOCs)
Dưới đây là danh sách các nhóm hacktivist, công cụ và kỹ thuật tấn công được đề cập:
- Nhóm Hacktivist:
- NoName057(16)
- Dark Storm Team
- ServerKillers
- KillNet (đã chuyển trọng tâm)
- IT Army of Russia
- TwoNet
- Cyber Army of Russia Reborn (CARR)
- Seashell Blizzard (APT44)
- Sector 16
- Công cụ và Dự án:
- DDoSia project (công cụ DDoS phát triển bằng Go)
- MegaMedusa Machine (công cụ DDoS được sử dụng bởi TwoNet)
- Phương thức Tấn công:
- Tấn công từ chối dịch vụ phân tán (DDoS)
- Làm biến dạng trang web (Website Defacement)
- Vi phạm dữ liệu (Data Breaches)
- Khai thác lỗ hổng SQL injection
