Các cuộc tấn công của hacktivist nhằm vào Hệ thống Điều khiển Công nghiệp (ICS) đang gia tăng về cường độ, thể hiện một sự tiến hóa đáng kể trong các hoạt động không gian mạng có động cơ tư tưởng. Từ những cuộc tấn công Phủ nhận Dịch vụ Phân tán (DDoS) đơn giản và phá hoại trang web, các nhóm này đã chuyển sang các xâm nhập phức tạp hơn, nhắm mục tiêu vào việc rò rỉ dữ liệu và gián đoạn hoạt động.
Sự Leo Thang của Các Cuộc Tấn Công Hacktivist vào ICS
Theo Báo cáo đánh giá bối cảnh mối đe dọa Q2 2025 của Cyble, các cuộc tấn công nhắm vào ICS, kết hợp với các vụ vi phạm dữ liệu và xâm nhập dựa trên quyền truy cập, hiện chiếm 31% tổng số hoạt động của hacktivist, tăng từ 29% trong quý trước. Sự gia tăng này nhấn mạnh năng lực kỹ thuật ngày càng cao của các tác nhân đe dọa.
Mục Tiêu và Kỹ Thuật Khai Thác
Các tác nhân đe dọa đang khai thác các lỗ hổng trong môi trường Công nghệ Vận hành (OT) để can thiệp vào các hệ thống Điều khiển Giám sát và Thu thập Dữ liệu (SCADA) cũng như Giao diện Người-Máy (HMI). Điều này thường dẫn đến việc trích xuất dữ liệu đo từ xa nhạy cảm, tệp cấu hình và các giao thức công nghiệp độc quyền. Những hoạt động này không chỉ đe dọa khả năng phục hồi quốc gia mà còn khuếch đại chiến tranh tâm lý thông qua việc công khai bằng chứng về các vụ xâm nhập, chẳng hạn như ghi hình màn hình các thao tác ICS theo thời gian thực.
Các lĩnh vực chính bị tấn công bao gồm Năng lượng & Tiện ích, nơi kẻ tấn công khai thác các Đơn vị Đầu cuối Từ xa (RTU) và Bộ Điều khiển Logic Lập trình (PLC) chưa được vá lỗi để duy trì quyền truy cập dai dẳng. Bên cạnh đó, các lĩnh vực Sản xuất, Giao thông vận tải, và Viễn thông cũng bị ảnh hưởng, với các vụ xâm nhập mạng lưới quốc gia liên quan đến di chuyển ngang (lateral movement) qua các thiết bị Internet Vạn vật Công nghiệp (IIoT) dễ bị tổn thương.
Các Nhóm Hacktivist Chính và Hoạt Động của Họ
Các nhóm liên quan đến Nga đang đi đầu trong cuộc tấn công vào ICS này. Z-Pentest nổi lên là tác nhân chủ đạo, chịu trách nhiệm cho 38 sự cố trong quý 2, tăng 150% so với 15 cuộc tấn công trong quý 1. Z-Pentest sử dụng các kỹ thuật trinh sát và khai thác nâng cao, nhắm mục tiêu một cách có hệ thống vào cơ sở hạ tầng năng lượng trên khắp châu Âu.
Z-Pentest và Chiến Dịch Nhắm vào Năng Lượng
Z-Pentest tập trung vào các giao thức công nghiệp như Modbus và DNP3 để can thiệp vào các vòng điều khiển và rò rỉ dữ liệu vận hành. Modbus và DNP3 là hai giao thức truyền thông phổ biến trong môi trường OT, thường được sử dụng để điều khiển và giám sát các thiết bị công nghiệp. Việc nhắm mục tiêu vào các giao thức này cho phép Z-Pentest thao túng trực tiếp hoạt động của hệ thống ICS.
Dark Engine: Đội Tiêu Diệt Hạ Tầng
Bên cạnh Z-Pentest, nhóm Dark Engine mới nổi đã thực hiện 26 vụ xâm nhập ICS, cho thấy sự tăng cường hoạt động nhanh chóng trong tháng 6. Dark Engine tự xưng là “Đội Tiêu diệt Hạ tầng” và đã tiến hành các hoạt động đa lục địa, trải dài khắp EU, Châu Á và Châu Mỹ Latinh, kết hợp các cuộc xâm nhập dựa trên quyền truy cập với việc rò rỉ dữ liệu từ giao diện SCADA.
Một sự cố đáng chú ý liên quan đến việc truy cập trái phép vào một HMI của Việt Nam kiểm soát các lò nung nhiệt độ cao, có thể trong các ngành luyện kim hoặc chế biến thực phẩm. Trong vụ việc này, kẻ tấn công đã rò rỉ các thông số điều khiển và biện minh cho hành vi vi phạm là để trả đũa các quốc gia bị coi là đối địch với Trung Quốc.
Các Nhóm Khác và Chiến Thuật Đa Dạng
- Sector 16 đã đóng góp 14 cuộc tấn công. Các nhóm này thể hiện những nỗ lực phối hợp, chia sẻ Thông tin Chỉ báo về Sự cố (IoC), đồng bộ hóa thời gian tấn công và liên kết các luận điệu địa chính trị nhằm hỗ trợ các mục tiêu không gian mạng của Nga.
- APT IRAN đã tinh chỉnh các năng lực tập trung vào OT trong cuộc xung đột Iran-Israel, nhắm mục tiêu vào ICS năng lượng của Hoa Kỳ với các xâm nhập chính xác để thu thập dữ liệu nhạy cảm giữa căng thẳng leo thang.
- Tại Đông Nam Á, tập thể BL4CK CYB3R của Campuchia đã leo thang các cuộc tấn công DDoS và truy cập chống lại các thực thể của Thái Lan trong các lĩnh vực IT, chính phủ và hàng tiêu dùng, trùng hợp với tranh chấp biên giới cuối tháng 5.
- Các tác nhân chủ đạo khác như NoName057(16), Special Forces of the Electronic Army, và Keymous+ đã ưu tiên các lĩnh vực chính phủ và thực thi pháp luật, triển khai botnet để gây gián đoạn liên tục và thu thập thông tin đăng nhập.
- Trong lĩnh vực ngân hàng và tài chính, các nhóm như Indian Cyber Force đã rò rỉ nhật ký giao dịch và dữ liệu người dùng thông qua các vector tấn công tiêm SQL (SQL injection) và lừa đảo (phishing).
Phân Tích Địa Lý và Động Cơ Chính Trị
Các Khu Vực Bị Nhắm Mục Tiêu Hàng Đầu
Về mặt địa lý, Ý dẫn đầu là quốc gia bị nhắm mục tiêu nhiều nhất, tiếp theo là các đồng minh NATO như Hoa Kỳ, Cộng hòa Séc, Pháp, và Tây Ban Nha. Điều này phản ánh một trọng tâm chiến lược nhằm phá vỡ chuỗi cung ứng của các đồng minh và khả năng phục hồi cơ sở hạ tầng quan trọng.
Động Cơ Xung Đột Địa Chính Trị
Các cuộc xung đột địa chính trị tiếp tục thúc đẩy làn sóng tấn công này, với các điểm nóng như Ukraine-Nga, Israel-Iran, Ấn Độ-Pakistan, Thái Lan-Campuchia, và Maroc-Algeria thúc đẩy các chiến dịch xuyên biên giới. Những chiến dịch này cũng cuốn vào các đồng minh bị coi là đối địch, bao gồm cả hoạt động tăng cường chống lại Việt Nam.
Hệ sinh thái hacktivist còn được làm phong phú bởi các nhóm mới nổi với nhiều chiến thuật và động cơ tư tưởng đa dạng. Các xu hướng cho thấy các vụ vi phạm dữ liệu dai dẳng làm lộ thông tin đăng nhập quản trị và hồ sơ nội bộ, thường trong các lĩnh vực chính phủ và giáo dục, trong khi các cuộc tấn công dựa trên quyền truy cập tạo điều kiện cho trinh sát để chuẩn bị cho các hoạt động kiểu Advanced Persistent Threat (APT) trong tương lai.
Các tập thể ủng hộ Hồi giáo đang đổi mới bằng cách tích hợp các tiết lộ an ninh mạng với các hoạt động thông tin đa phương tiện để xói mòn lòng tin của các tổ chức. Các liên minh xuyên khu vực, không bị ràng buộc bởi sắc tộc, nhắm mục tiêu vào các đối thủ chung như Pháp. Các triển khai ransomware thử nghiệm cũng gợi ý về các động cơ hỗn hợp, mặc dù chưa có thành công được xác minh trong các giai đoạn mã hóa hoặc tống tiền.
Hậu Quả và Biện Pháp Đối Phó
Tác Động và Chiến Tranh Tâm Lý
Các chiến dịch hacktivist gây ra hậu quả sâu rộng, không chỉ dừng lại ở thiệt hại vật chất hoặc gián đoạn hoạt động. Việc công khai bằng chứng về các vụ xâm nhập, chẳng hạn như ghi hình các hệ thống ICS bị thao túng trực tiếp, tạo ra một hình thức chiến tranh tâm lý hiệu quả. Điều này có thể làm lung lay niềm tin công chúng vào các cơ sở hạ tầng quan trọng và tạo ra sự hoảng loạn, dù thiệt hại thực tế có thể chưa được xác định đầy đủ. Mục tiêu cuối cùng là làm suy yếu khả năng phục hồi của quốc gia và khu vực bằng cách gây ra sự hỗn loạn và mất lòng tin.
Khuyến Nghị Phòng Ngừa
Khi các hacktivist ngày càng tinh chỉnh bộ công cụ khai thác công nghệ vận hành (OT) của họ, các tổ chức cần tăng cường phòng thủ để giảm thiểu những xâm nhập có động cơ tư tưởng này. Các biện pháp bảo vệ quan trọng bao gồm:
- Phân đoạn mạng ICS: Chia nhỏ mạng ICS thành các phân đoạn nhỏ hơn, cô lập các hệ thống quan trọng để hạn chế sự lây lan của các cuộc tấn công. Điều này bao gồm việc triển khai tường lửa và kiểm soát truy cập nghiêm ngặt giữa các phân đoạn.
- Phát hiện dị thường: Triển khai các hệ thống phát hiện hành vi bất thường trong môi trường OT. Các hệ thống này có thể nhận diện các hoạt động đáng ngờ hoặc không điển hình so với hoạt động bình thường của hệ thống, giúp phát hiện sớm các cuộc tấn công hoặc xâm nhập.
- Nâng cao năng lực tình báo mối đe dọa: Chủ động thu thập, phân tích và áp dụng thông tin tình báo về các mối đe dọa mới nhất, đặc biệt là những mối đe dọa nhắm vào các hệ thống công nghiệp. Điều này giúp các tổ chức hiểu rõ hơn về chiến thuật, kỹ thuật và quy trình (TTP) của kẻ tấn công, từ đó xây dựng các biện pháp phòng thủ hiệu quả hơn.
Việc kết hợp các chiến lược này là yếu tố then chốt để bảo vệ cơ sở hạ tầng quan trọng khỏi các mối đe dọa hacktivist ngày càng phức tạp.
