Trong bối cảnh xung đột Israel-Iran năm 2025, một sự leo thang đáng kể trong lĩnh vực tác chiến không gian mạng đã được ghi nhận. Các hoạt động này bao gồm cả những chiến dịch được chính phủ hậu thuẫn và một làn sóng gia tăng các hoạt động của giới hacktivist. Hơn 100 nhóm hacktivist đã được huy động trên toàn cầu, với ít nhất hơn 60 nhóm thân Iran, chủ yếu từ Trung Đông và Châu Á, tích cực nhắm mục tiêu vào các tổ chức quân sự, chính phủ, cơ sở hạ tầng dân sự và các viện nghiên cứu của Israel.
Các hình thức tấn công mạng đa dạng, bao gồm tấn công từ chối dịch vụ phân tán (DDoS), làm biến dạng website (website defacements), vi phạm/rò rỉ dữ liệu (data breaches/leaks), tấn công vào hệ thống kiểm soát công nghiệp (ICS), chiến dịch tung tin giả (disinformation campaigns) và đánh cắp thông tin xác thực (credential theft). Sự bùng nổ của hoạt động hacktivist trong xung đột này phản ánh một xu hướng đáng báo động, nơi các nhóm phi nhà nước đóng vai trò ngày càng quan trọng trong việc định hình cục diện chiến tranh mạng.
Các nhóm APT/Tội phạm mạng và Hacktivist
Sự tham gia của nhiều nhóm khác nhau cho thấy một mặt trận phức tạp trong không gian mạng:
Các nhóm Hacktivist thân Iran:
- HackYourMom
- Liwa Muhammad ﷺ
- Unified Islamic Cyber Resistance: Nhóm này đáng chú ý với khả năng thực hiện các cuộc tấn công ICS phức tạp.
- Lực Lượng Đặc Biệt Quân Đội Điện Tử: Tập trung vào các cuộc tấn công DDoS Lớp 7.
- Handala Group: Một nhóm đã thực hiện các vụ rò rỉ dữ liệu quy mô lớn và đưa ra các cảnh báo về mục tiêu tương lai.
Các nhóm thân Israel:
Hoạt động của các nhóm thân Israel dường như hạn chế hơn, với chỉ khoảng 4-5 nhóm được xác định có hoạt động đáp trả.
Các tác nhân được chính phủ bảo trợ:
Có những dấu hiệu cho thấy các nhóm tin tặc hàng đầu của Iran có thể đang kìm hãm việc triển khai các vũ khí mạng có sức tàn phá lớn hơn. Tuy nhiên, nếu xung đột leo thang hơn nữa, khả năng họ sẽ triển khai các loại mã độc tống tiền (ransomware) hoặc mã độc xóa dữ liệu (wiper malware) là hoàn toàn có thể xảy ra. Điều này cho thấy một mối đe dọa tiềm ẩn đáng kể từ các tác nhân nhà nước, có thể thay đổi đáng kể cục diện của cuộc chiến tranh mạng.
Các nền tảng và mục tiêu bị khai thác
Các cuộc tấn công mạng đã nhắm vào một loạt các mục tiêu chiến lược và dân sự quan trọng của Israel:
- Bộ Quốc phòng Israel
- Đơn vị 8200 (Unit 8200)
- Căn cứ không quân Nevatim
- Các dịch vụ dân sự quan trọng: hệ thống điều hướng hàng không, hệ thống điều hướng hàng hải.
- Các cơ sở giáo dục: Viện Khoa học Weizmann (Weizmann Institute of Science)
- Các trung tâm y tế: Trung tâm Y tế Barzilai (Barzilai Medical Center)
- Các công ty logistics: Mor Logistics Ltd.
- Hệ thống quản lý đội xe điện (electric vehicle fleet management systems), bị nhắm mục tiêu bởi các cuộc tấn công ICS.
Việc nhắm mục tiêu vào các lĩnh vực đa dạng như vậy, từ quân sự đến dân sự và cơ sở hạ tầng thiết yếu, cho thấy một chiến lược toàn diện nhằm gây gián đoạn và bất ổn trên quy mô rộng.
Kỹ thuật tấn công / TTPs
Tấn công từ chối dịch vụ phân tán (DDoS):
Chủ yếu là các cuộc tấn công DDoS Lớp 7, được thực hiện bởi các nhóm như Lực Lượng Đặc Biệt Quân Đội Điện Tử. Các cuộc tấn công này nhằm mục đích làm quá tải các dịch vụ web, khiến chúng không thể truy cập được đối với người dùng hợp pháp. DDoS Lớp 7, nhắm vào lớp ứng dụng của mô hình OSI, thường khó giảm thiểu hơn so với các cuộc tấn công DDoS lớp mạng, vì chúng mô phỏng lưu lượng truy cập hợp pháp.
Làm biến dạng website (Website Defacements):
Kỹ thuật này được sử dụng để truyền bá các thông điệp tuyên truyền phù hợp với mục tiêu ý thức hệ của các nhóm tấn công. Việc thay đổi giao diện trang web là một cách nhanh chóng và hiệu quả để gây ảnh hưởng đến nhận thức công chúng và gieo rắc sự hỗn loạn.
Vi phạm & Rò rỉ dữ liệu (Data Breaches & Leaks):
Các tuyên bố về rò rỉ dữ liệu quy mô lớn đã được đưa ra, cho thấy khả năng thu thập và đánh cắp dữ liệu đáng kể. Nhóm Handala đã tuyên bố rò rỉ các bộ dữ liệu sau:
Handala group leaked:
- ~425 GB internal documents from Mor Logistics Ltd.
- Over ~4 TB internal research data from Weizmann Institute of Science.
Những vụ rò rỉ này được coi là hành động chính trị, được thực hiện với mục đích gây bất ổn cho các mục tiêu vượt ra ngoài sự gián đoạn kỹ thuật đơn thuần. Quy mô dữ liệu bị rò rỉ, đặc biệt là từ một viện nghiên cứu, có thể chứa thông tin nhạy cảm và có giá trị chiến lược.
Tấn công hệ thống kiểm soát công nghiệp (ICS Attacks):
Nhóm Unified Islamic Cyber Resistance đã thực hiện các cuộc tấn công ICS phức tạp nhắm vào hệ thống quản lý đội xe điện. Điều này cho thấy nỗ lực nhằm phá vỡ môi trường công nghệ vận hành (OT) của cơ sở hạ tầng quan trọng. Các cuộc tấn công ICS có thể gây ra hậu quả nghiêm trọng trong thế giới thực, từ gián đoạn dịch vụ đến thiệt hại vật chất.
Rò rỉ thông tin xác thực & Gián đoạn hạ tầng (Credential Leaks & Infrastructure Disruptions):
Nhiều nhóm hacktivist thân Iran, bao gồm cả các kênh liên kết với IRGC, đã tuyên bố thực hiện các hoạt động này. Mục tiêu là gây bất ổn kết hợp với việc khuếch đại thông tin sai lệch, chẳng hạn như các tuyên bố phóng tên lửa phóng đại. Việc rò rỉ thông tin xác thực có thể mở đường cho các cuộc tấn công tiếp theo, trong khi gián đoạn hạ tầng nhằm trực tiếp làm suy yếu hoạt động của mục tiêu.
Các chiến dịch tung tin giả
Các nhóm như các kênh liên kết với IRGC đã lan truyền thông tin sai lệch song song với các cuộc tấn công kỹ thuật. Mục đích là để khuếch đại tác động tâm lý lên dân số và các nhà ra quyết định của đối phương. Điều này bao gồm các báo cáo phóng tên lửa phóng đại, được thiết kế để gieo rắc sự hoang mang và sợ hãi, đồng thời che giấu các tác động hoặc khả năng tấn công thực tế. Sự kết hợp giữa tấn công mạng và chiến tranh thông tin tạo ra một mối đe dọa đa chiều.
Lời cảnh báo từ các tác nhân đe dọa
Ý định của các tác nhân đe dọa thường được thể hiện rõ qua các thông điệp của họ. Nhóm Handala đã đưa ra những cảnh báo rõ ràng về các mục tiêu trong tương lai:
“Stability is not a right; it’s a privilege,” — Handala group warning future economic/financial sector targets involved in crypto markets and digital finance linked to resistance nations.
Lời tuyên bố này cho thấy một sự thay đổi tiềm năng trong các mục tiêu tấn công, mở rộng sang lĩnh vực kinh tế và tài chính số. Một thông điệp khác của nhóm Handala nhấn mạnh tính chất bất ngờ và quyết liệt của các cuộc tấn công:
“The systems you trust may already be listening. Something unexpected is coming. And when it does, it won’t knock.” — Handala group.
Những tuyên bố này không chỉ là những lời đe dọa mà còn là một phần của chiến tranh tâm lý, nhằm gây áp lực và làm suy yếu ý chí của đối phương.
Tổng quan chi tiết kỹ thuật
Cuộc chiến tranh mạng này được đặc trưng bởi các loại hình tấn công đa dạng và nhắm vào các mục tiêu chiến lược. Các loại tấn công chính bao gồm DDoS Lớp 7, làm biến dạng website, vi phạm và rò rỉ dữ liệu với khối lượng lớn (khoảng 425 GB tài liệu nội bộ và hơn 4 TB dữ liệu nghiên cứu nội bộ), cùng các cuộc tấn công ICS nhắm vào cơ sở hạ tầng quan trọng. Các lĩnh vực bị nhắm mục tiêu bao gồm quân sự/chính phủ, cơ sở hạ tầng quan trọng, giáo dục, y tế và logistics.
Các mục tiêu chính xác bao gồm Bộ Quốc phòng Israel, Unit 8200, Căn cứ không quân Nevatim, và Trung tâm Y tế Barzilai. Các nhóm thân Iran tích cực nhất là HackYourMom, Liwa Muhammad ﷺ, Unified Islamic Cyber Resistance, Lực Lượng Đặc Biệt Quân Đội Điện Tử và Handala Group. Trong khi đó, phản ứng từ các nhóm thân Israel khá hạn chế, chỉ có khoảng 4-5 nhóm được xác định.
Điều đáng chú ý là trong các báo cáo được xem xét, không có đề cập cụ thể về các họ mã độc (malware families) hoặc các lỗ hổng bảo mật đã biết (CVE identifiers) được khai thác. Tuy nhiên, các kỹ thuật tấn công được sử dụng có thể được liên kết gián tiếp với các kỹ thuật trong khung MITRE ATT&CK:
- Tấn công từ chối dịch vụ mạng (Network Denial-of-Service) [T1499]: Mô tả các cuộc tấn công DDoS.
- Dữ liệu được chuẩn bị / Đánh cắp (Data Staged / Exfiltration) [T1074/T1041]: Liên quan đến các vụ vi phạm và rò rỉ dữ liệu quy mô lớn.
- Tác động thông qua việc thỏa hiệp ICS (Impact via ICS compromise) [T0836]: Đặc trưng cho các cuộc tấn công vào hệ thống kiểm soát công nghiệp.
Mặc dù không có CVE hoặc họ mã độc cụ thể, việc phân tích các kỹ thuật tấn công thông qua khung MITRE ATT&CK vẫn cung cấp một cái nhìn sâu sắc về cách thức các tác nhân đe dọa thực hiện các hoạt động của mình.
Các chỉ số thỏa hiệp (IOCs)
Trong các đoạn trích bài viết nguồn, không có các giá trị băm của tệp (file hashes) hoặc URL cụ thể nào được cung cấp. Tuy nhiên, các chỉ số thỏa hiệp dưới dạng khối lượng dữ liệu bị rò rỉ là một dấu hiệu rõ ràng của các vụ xâm nhập thành công:
Leaked Data Volumes:
Mor Logistics Ltd.: ~425 GB internal documents leaked.
Weizmann Institute: >4 TB internal research data extracted.
Những con số này không chỉ là bằng chứng về một cuộc tấn công mà còn là chỉ dấu cho quy mô và mức độ nghiêm trọng của sự xâm nhập. Việc rò rỉ dữ liệu lớn như vậy có thể dẫn đến mất mát tài sản trí tuệ, thông tin nhạy cảm và gây thiệt hại danh tiếng nghiêm trọng. Không có ví dụ dòng lệnh (command-line examples) hoặc tệp cấu hình (configuration files) nào được chi tiết trong các nguồn đã xem xét.
Tóm tắt cho việc tích hợp SOC/TIP
Chiến dịch tác chiến không gian mạng đang diễn ra này có một khối lượng hoạt động hacktivist phối hợp chưa từng có, hỗ trợ các mục tiêu địa chính trị của Iran chống lại Israel. Các hoạt động này được thực hiện thông qua các chiến dịch kỹ thuật số đa vector, bao gồm tấn công DDoS ở lớp ứng dụng, rò rỉ dữ liệu quy mô lớn được sử dụng cho mục đích tuyên truyền chính trị/gây gián đoạn, các cuộc xâm nhập ICS có mục tiêu ảnh hưởng đến các thành phần cơ sở hạ tầng quan trọng như hệ thống quản lý đội xe điện, và các nỗ lực tung tin giả đi kèm nhằm khuếch đại tác động hoạt động về mặt tâm lý trên các cộng đồng dân sự.
Mặc dù chưa có các mã định danh CVE cụ thể hoặc giá trị băm mã độc nào được công bố trong các báo cáo này tính đến tháng 6 năm 2025, việc giám sát cần tập trung vào các bất thường lưu lượng mạng Lớp 7 phù hợp với các mô hình DDoS (kỹ thuật MITRE ATT&CK T1499). Điều này bao gồm việc theo dõi lưu lượng truy cập bất thường, tỷ lệ yêu cầu/phản hồi không hợp lý và các dấu hiệu của việc các máy chủ bị quá tải. Đặc biệt, các tổ chức nên thiết lập các ngưỡng cảnh báo cho lưu lượng truy cập web để phát hiện sớm các cuộc tấn công DDoS Lớp 7.
Bên cạnh đó, cần chú ý đến các hoạt động truyền dữ liệu ra bên ngoài quy mô lớn đáng ngờ, cho thấy khả năng dữ liệu nhạy cảm đã được chuẩn bị và đánh cắp (kỹ thuật T1074/T1041). Việc này đòi hỏi khả năng giám sát mạng sâu rộng (deep packet inspection), phân tích nhật ký lưu lượng (flow logging) và sử dụng các hệ thống phát hiện rò rỉ dữ liệu (DLP – Data Loss Prevention) để xác định các luồng dữ liệu bất thường hoặc khối lượng dữ liệu lớn được chuyển ra ngoài môi trường được kiểm soát. Cảnh báo nên được kích hoạt khi có các mẫu dữ liệu bất thường hoặc khối lượng dữ liệu lớn vượt quá mức trung bình.
Hơn nữa, cần theo dõi dữ liệu đo lường từ các điểm cuối của hệ thống kiểm soát công nghiệp (ICS), có khả năng bị nhắm mục tiêu bởi các tác nhân đe dọa dai dẳng nâng cao (APT) (kỹ thuật T0836). Đối với môi trường OT, việc giám sát cần bao gồm các giao thức công nghiệp, trạng thái thiết bị, lệnh điều khiển bất thường, và bất kỳ thay đổi cấu hình trái phép nào. Các hệ thống IDS/IPS chuyên biệt cho OT và các giải pháp an ninh mạng công nghiệp (ICS/OT Security Solutions) là rất cần thiết để phát hiện các dấu hiệu xâm nhập sớm.
Sự tham gia rộng rãi của hơn 100 thực thể hacktivist nhấn mạnh bề mặt rủi ro ngày càng tăng, đòi hỏi khả năng phát hiện được tăng cường trên các mạng quân sự/chính phủ, cũng như các lĩnh vực dân sự quan trọng bao gồm y tế, logistics và các cơ sở giáo dục có liên kết với khuôn khổ an ninh quốc gia. Các tổ chức cần đầu tư vào việc đào tạo nhân sự, cập nhật các giải pháp bảo mật và thiết lập quy trình ứng phó sự cố mạnh mẽ để đối phó hiệu quả với các mối đe dọa đa dạng và đang phát triển này.
