Một sự cố an ninh mạng nghiêm trọng đã tiết lộ hoạt động của APT39, một nhóm tin tặc có liên hệ với Bộ Tình báo và An ninh Iran (MOIS), thông qua các hệ thống nội bộ bị xâm nhập của công ty Iran mang tên Amnban, Sharif Advanced Technologies.
Được thành lập vào năm 2018 với các chứng chỉ từ cựu sinh viên Đại học Sharif và Amir Kabir, Amnban tự giới thiệu là một thực thể kiểm thử xâm nhập và tư vấn bảo mật hợp pháp thông qua trang web của mình tại www.amnban.ir.
Chiến dịch Tấn công Mạng do Nhà nước Bảo trợ
Tuy nhiên, hàng gigabyte dữ liệu bị rò rỉ đã phơi bày một chiến dịch tinh vi do nhà nước bảo trợ, bao gồm các hoạt động khai thác mạng máy tính (CNE – Cyber Network Exploitation) và chuẩn bị cho các cuộc tấn công mạng (CNA – Cyber Network Attacks). Chiến dịch này đã thu thập có hệ thống thông tin nhận dạng cá nhân (PII – Personal Identifiable Information) nhạy cảm từ hàng triệu hành khách hàng không trên toàn thế giới. Các thông tin thu thập được bao gồm số hộ chiếu, địa chỉ nhà, chi tiết liên hệ và ảnh chụp gần đây, tạo điều kiện cho các hoạt động giám sát, trộm cắp danh tính và tiềm ẩn vi phạm nhân quyền bởi tình báo Iran. Vụ rò rỉ này cũng nhấn mạnh sự yếu kém của Amnban trong việc bảo vệ cơ sở hạ tầng của chính mình, một nghịch lý cho thấy các lỗ hổng trong hệ sinh thái mạng của Iran.
Bằng chứng từ các tệp bị đánh cắp liên kết trực tiếp Amnban với APT39, còn được biết đến với tên gọi Chafer. Nhóm này tập trung vào thu thập tình báo hơn là lợi ích tài chính.
Mối liên hệ nhân sự với MOIS và APT39
Behnam Amiri, CEO của Amnban, trước đây đã bị các cơ quan tình báo gắn cờ vì có liên hệ với APT39. Amnban cũng đã tuyển dụng Ali Kamali, một tin tặc bị FBI trừng phạt vì liên quan đến các cuộc tấn công vào cơ sở hạ tầng của Hoa Kỳ từ năm 2020. Theo báo cáo, các chuyến thăm thường xuyên của đặc vụ MOIS Hamed Mashayekhi đến văn phòng của Amnban càng khẳng định mối liên hệ với nhà nước. Đặc biệt, nhân viên lâu năm Arshia Akhavan (tên cha: Reza) gần đây đã nhập cư vào Hoa Kỳ, đặt ra những câu hỏi về việc nhập cảnh của anh ta bất chấp các hoạt động trùng lặp với các thông báo của FBI và Bộ Tài chính Hoa Kỳ về APT39.
Phạm vi Mục tiêu và Kỹ thuật Tấn công
Dưới vỏ bọc đào tạo tình báo nguồn mở (OSINT – Open-Source Intelligence), Amnban đã tiến hành trinh sát trái phép trên nhiều mục tiêu khác nhau.
Mục tiêu Hàng không và Vận chuyển
Các hãng hàng không là mục tiêu chính của chiến dịch này. Danh sách các hãng hàng không bị nhắm mục tiêu bao gồm:
- Royal Jordanian
- Turkish Airlines
- Wizz Air
- Rwanda Airlines
- Etihad
- Emirates
- Qatar Airways
- Oman Air
- Kenya Airways
- Air Tanzania
- Air Botswana
- LOT Airlines
- AZAL
- FlyDubai
- Air Arabia
- Azimuth Airlines
- Ukraine International Airlines
- Uganda Airlines
- Zambia Airways
Ngoài ra, các công ty vận chuyển hàng hóa như FedEx, USPS, DHL và Aramex cũng bị thăm dò, cùng với các thực thể của Nga, cho thấy một mô hình tấn công trải rộng cả đồng minh và đối thủ của Iran.
Khai thác Sàn giao dịch Tiền điện tử
Các chiến dịch của Amnban cũng mở rộng sang các sàn giao dịch tiền điện tử thông qua kỹ thuật xã hội nâng cao được ghi lại trong các tệp như “social engineering.docs”. Các đặc vụ đã tạo hồ sơ LinkedIn giả mạo để phác thảo hồ sơ và lừa đảo nhân viên, ví dụ như nhắm mục tiêu đến Arthur trong bộ phận API của KuCoin, với các đề nghị khuyến khích làm việc tự do hoặc hối lộ để giành quyền truy cập mạng. Khi thuyết phục thất bại, họ đã triển khai các liên kết theo dõi để thu thập địa chỉ IP, dấu vân tay thiết bị và dữ liệu định vị địa lý, như đã thấy trong các tương tác với Anil Kumar của CoinSwitch và đặc vụ Binance Naliya, nơi thao túng tâm lý bằng ngôn ngữ khó hiểu đã khiến nạn nhân nhấp vào các tải trọng độc hại. Hồ sơ của các mục tiêu như Minty Liu, quản lý VIP của KuCoin, bao gồm đánh giá mức độ hợp tác và các nỗ lực hối lộ, cho thấy một cách tiếp cận lai ghép kết hợp tình báo con người (HUMINT – Human Intelligence) với khai thác kỹ thuật.
Cơ sở Hạ tầng Bóng tối và Tác động
Các video và báo cáo trinh sát bị rò rỉ mô tả chi tiết việc lập bản đồ có phương pháp các vector tấn công, bao gồm đánh giá lỗ hổng và các bản thiết kế hoạt động được lưu trữ trong các cấu trúc thư mục “Projects” và “R&D”, những cấu trúc này cho thấy hoạt động hướng đến tình báo thay vì nghiên cứu bảo mật hợp pháp. Các tài liệu này không nêu rõ ủy quyền của khách hàng, cho thấy sự bảo vệ cấp cao từ các nhà chức trách Iran.
Hỗ trợ các nỗ lực này là một cơ sở hạ tầng bóng tối gồm hàng trăm máy chủ riêng ảo (VPS – Virtual Private Servers) và các hệ thống cung cấp email giả mạo được phân phối trên toàn cầu, cho phép khởi chạy các cuộc tấn công dai dẳng. Mạng lưới này tạo điều kiện cho các hoạt động lừa đảo (phishing), rò rỉ dữ liệu (data exfiltration) và điều khiển & kiểm soát (C2 – Command-and-Control), gây ra rủi ro cho an ninh hàng không quốc tế bằng cách có khả năng gây gián đoạn hệ thống hoặc gián điệp có mục tiêu.
Sự phơi bày này đòi hỏi sự cảnh giác cao độ từ các thực thể bị ảnh hưởng. Nguồn rò rỉ cũng đã đề nghị chia sẻ các tệp cụ thể của công ty qua email chính thức, nhấn mạnh nhu cầu cấp bách về phân tích pháp y và các biện pháp đối phó quốc tế chống lại các mối đe dọa được nhà nước hậu thuẫn như vậy.
