Intelligence Group 13: APT Iran Gây Nguy Hiểm Hạ Tầng Trọng Yếu

Hoạt Động Cyber Asymmetric của Intelligence Group 13

Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC) đã tăng cường các hoạt động cyber asymmetric nhằm phản ứng với các cuộc tấn công gần đây của Hoa Kỳ vào các cơ sở hạt nhân của Iran. Trong bối cảnh này, **Intelligence Group 13** đã nổi lên như một tác nhân gây hấn chính, nhắm mục tiêu vào cơ sở hạ tầng trọng yếu tại Hoa Kỳ.

Đơn vị tinh nhuệ này, nằm trong **Shahid Kaveh Cyber Group**, hoạt động ở giao điểm của gián điệp mạng chiến thuật, phá hoại công nghiệp và chiến tranh tâm lý. Nhóm này tận dụng các kỹ thuật tấn công dai dẳng nâng cao (APT) để định vị trước phần mềm độc hại và gây gián đoạn các dịch vụ thiết yếu.

Mang tên Mohammad Kaveh, chỉ huy IRGC đã tử vì đạo, nhóm này thấm nhuần các hoạt động của mình với lòng nhiệt thành ý thức hệ, miêu tả các vụ xâm nhập kỹ thuật số như là sự mở rộng của cuộc đấu tranh cách mạng. Khi áp lực địa chính trị gia tăng, các đánh giá cho thấy xác suất cao xảy ra các cuộc tấn công trả đũa, kết hợp sự gây hấn kỹ thuật với thao túng tường thuật để khuếch đại tác động tâm lý và thể hiện sự thách thức chống lại các đối thủ phương Tây.

Cấu Trúc Tổ Chức và Lãnh Đạo

Shahid Kaveh Cyber Group và Vị Trí Chiến Lược

Cấu trúc chỉ huy của Intelligence Group 13 được tích hợp sâu vào hệ sinh thái mạng của IRGC, chịu sự giám sát từ **Tổ chức Tác chiến Điện tử và Phòng thủ Mạng (EWCD)**, **Tổ chức Tình báo (IO)**, và các đơn vị chuyên biệt của Lực lượng Quds như **Unit 300**.

Kiến trúc phân chia này cho phép nhóm thực hiện các hoạt động bí mật với khả năng chối bỏ hợp lý, phản ánh các mô hình được thấy trong các chương trình cyber do nhà nước bảo trợ từ Trung Quốc và Nga, nơi các công ty tư nhân che giấu sự tham gia chính thức.

Nhân Sự Chủ Chốt

• Hamidreza Lashgarian: Một quan chức cyber cấp cao của IRGC, cung cấp định hướng chiến lược.
• Reza Salarvand: Lãnh đạo tác chiến, điều phối việc lựa chọn mục tiêu và các chiến dịch xâm nhập.
• Mohammad Bagher Shirinkar: Đảm nhiệm vai trò kết nối các hoạt động quân sự với mạng lưới nhà thầu, tạo điều kiện phát triển công cụ và các hoạt động có thể chối bỏ thông qua các công ty bình phong.

Kỹ Thuật, Chiến Thuật và Thủ Tục (TTPs)

Nhắm Mục Tiêu Hệ Thống Điều Khiển Công Nghiệp (ICS)

Chiến thuật của nhóm tập trung vào việc xâm nhập các hệ thống điều khiển công nghiệp (ICS), bao gồm các bộ điều khiển logic khả trình (PLC) như những loại của **Unitronics**. Điều này đã được chứng minh trong các cuộc tấn công trước đây vào các cơ sở xử lý nước của Hoa Kỳ và lưới điện của Israel.

Điển hình, trong vụ xâm nhập hệ thống nước Aliquippa ở Pennsylvania, nhóm đã định vị trước các implant để cho phép kích hoạt ở trạng thái ngủ đông, có khả năng gây ra sự gián đoạn rộng khắp đối với việc điều chỉnh áp suất và giám sát.

Các Kỹ Thuật Tấn Công Khác

Các kỹ thuật được Intelligence Group 13 sử dụng bao gồm:

• Đánh cắp thông tin xác thực dựa trên phishing: Đây là một phương pháp phổ biến để giành quyền truy cập ban đầu vào mạng mục tiêu.
• Thu thập thông tin tình báo nguồn mở (OSINT): Nhằm mục đích thu thập thông tin công khai về mục tiêu, bao gồm cấu trúc tổ chức, nhân sự, và cơ sở hạ tầng kỹ thuật để lên kế hoạch tấn công hiệu quả hơn.
• Triển khai phần mềm độc hại tùy chỉnh: Phát triển và triển khai các loại malware được thiết kế riêng cho mục đích trinh sát và phá hoại, phù hợp với từng mục tiêu cụ thể.

Chiến Tranh Tâm Lý và Tuyên Truyền

Mặt Trận Tuyên Truyền: CyberAveng3rs

Các hoạt động của Intelligence Group 13 không chỉ giới hạn ở việc thỏa hiệp kỹ thuật mà còn tích hợp các yếu tố tâm lý thông qua các mặt trận tuyên truyền như **CyberAveng3rs**. Nhóm này phát tán các ảnh chụp màn hình phá hoại (defacement screenshots), rò rỉ hoạt động và các tin nhắn chế nhạo được pha trộn với hùng biện tôn giáo-quốc gia thông qua các kênh **Telegram** và **Instagram**.

Hoạt động dưới các tên người dùng như **@CyberAveng3rs** và liên kết với các nhân vật như **Mr. Soul (Mr_Soulcy)**, nhánh này đưa ra các mối đe dọa phủ đầu, chẳng hạn như “Operation IV” nhắm vào các đơn vị an ninh mạng của Israel. Điều này nhằm mục đích gây ra chiến tranh nhận thức, làm xói mòn lòng tin và gia tăng nỗi sợ hãi.

Hệ Sinh Thái Nhà Thầu và Công Ty Bình Phong

Nền tảng của những nỗ lực này là một hệ sinh thái mạnh mẽ gồm các nhà thầu và công ty bình phong liên kết với IRGC, được thiết kế để mở rộng quy mô và né tránh các lệnh trừng phạt.

Các Thực Thể Chính

• Ayandeh Sazan Sepehr Aria: Một đơn vị kế nhiệm của **Emen Net Pasargad** (đã bị trừng phạt), chuyên phát triển phần mềm độc hại và các chiến dịch tung tin sai lệch.
• Mahak Rayan Afraz: Cung cấp các công cụ giám sát dựa trên trí tuệ nhân tạo (AI), bao gồm các công cụ xử lý ngôn ngữ tự nhiên (NLP) tiếng Ba Tư và các nền tảng nhận dạng khuôn mặt.
• DSPRI: Hỗ trợ việc chặn tín hiệu.
• Sabrin Kish: Cung cấp các công cụ đánh hơi (sniffers) cho ICS, hỗ trợ các hoạt động trinh sát và triển khai ở nước ngoài thông qua các ủy quyền tại Syria và Iraq.

Mô hình lai công-tư này, tương tự như các vụ rò rỉ i-SOON của Trung Quốc, cho phép IRGC luân chuyển các danh tính doanh nghiệp – ví dụ, **Net Peygard** phát triển thành **Emen Net**, sau đó là **Ayandeh Sazan** – trong khi vẫn duy trì nhân sự và khả năng. Điều này giúp duy trì các tư thế tấn công dài hạn bất chấp sự giám sát của quốc tế.

Các Chỉ Số Thỏa Hiệp (IOCs)

Dựa trên nội dung phân tích, các chỉ số thỏa hiệp và các thực thể liên quan có thể được xác định như sau:

• Nhóm APT:
  • Intelligence Group 13 (IG13)
  • Shahid Kaveh Cyber Group
• Mặt trận tuyên truyền/Ảnh hưởng:
  • CyberAveng3rs (kênh Telegram, Instagram, tên người dùng @CyberAveng3rs)
  • Cá nhân liên quan: Mr. Soul (Mr_Soulcy)
• Công ty bình phong / Nhà thầu liên quan:
  • Ayandeh Sazan Sepehr Aria
  • Emen Net Pasargad
  • Mahak Rayan Afraz
  • DSPRI
  • Sabrin Kish
  • Net Peygard
• Cá nhân liên quan đến lãnh đạo:
  • Hamidreza Lashgarian
  • Reza Salarvand
  • Mohammad Bagher Shirinkar
• Hệ thống/Nhà cung cấp mục tiêu:
  • Bộ điều khiển logic khả trình (PLC), đặc biệt là của Unitronics.
• Kỹ thuật khai thác:
  • Phishing-driven credential theft
  • Deployment of custom malware
  • Prepositioning of implants (e.g., Aliquippa water system)

Đối Phó và Triển Vọng Tương Lai

Khi Iran tìm cách trả đũa cho những căng thẳng leo thang, nhiệm vụ kép của Intelligence Group 13 là gây gián đoạn và gây ảnh hưởng đã định vị nó như một vector chính cho sự trả đũa lai. Các chiến dịch trong tương lai có thể nhắm mục tiêu vào các hệ thống nước của Hoa Kỳ, mạng lưới phân phối nhiên liệu và cơ sở hạ tầng các quốc gia vùng Vịnh, kết hợp các hiệu ứng cyber-kinetic với các tường thuật khuếch đại để làm suy yếu khả năng phục hồi của các tổ chức.

Các biện pháp phòng thủ không chỉ bao gồm việc củng cố mạng lưới chống lại các vụ xâm nhập APT mà còn cả các biện pháp đối phó với thông tin sai lệch, nhận ra rằng những mối đe dọa này nhằm mục đích kiểm soát cả miền kỹ thuật số và nhận thức của công chúng. Với nền tảng ý thức hệ bắt nguồn từ sự tử đạo và kháng cự, các hoạt động của nhóm báo hiệu một sự tiến hóa bền bỉ trong chiến tranh mạng do nhà nước bảo trợ, đòi hỏi phải giám sát cảnh giác các thực thể đổi tên và các kênh tuyên truyền để giảm thiểu rủi ro sắp xảy ra.