Liên minh hacker mới mang tên Russian Legion đã khởi động một chiến dịch tấn công mạng phối hợp nhằm vào Đan Mạch. Mối đe dọa này đe dọa các cơ sở hạ tầng trọng yếu và dịch vụ chính phủ, đặc biệt tập trung vào các tấn công DDoS quy mô lớn.
Sự Ra Đời và Mục Tiêu của Russian Legion
Russian Legion công khai tuyên bố thành lập vào ngày 27 tháng 1 năm 2026. Liên minh này bao gồm các nhóm hacker có tiếng như Cardinal, The White Pulse, Russian Partizan và Inteid.
Sự kiện này đánh dấu một bước leo thang đáng kể trong các hoạt động của nhóm hacktivist liên kết với các thực thể có chủ đích chính trị nhằm vào các quốc gia phương Tây.
Mục tiêu chính của liên minh là gây áp lực lên chính phủ Đan Mạch về gói viện trợ quân sự cho Ukraine. Đây là một phần của chiến dịch hacktivist được định hướng rõ ràng.
Chiến Dịch “OpDenmark” và Tối Hậu Thư
Chiến dịch được đặt tên là “OpDenmark”, bắt đầu với một loạt các tấn công từ chối dịch vụ phân tán (DDoS).
Các cuộc tấn công này nhằm mục đích làm gián đoạn các tổ chức của Đan Mạch và tạo áp lực buộc chính phủ phải rút lại gói viện trợ quân sự trị giá 1.5 tỷ DKK cho Ukraine.
Vào ngày 28 tháng 1 năm 2026, Russian Legion đã đưa ra tối hậu thư, yêu cầu Đan Mạch rút gói viện trợ trong vòng 48 giờ.
Nhóm này cảnh báo rằng các cuộc tấn công DDoS chỉ là hành động sơ bộ. Các hoạt động mạng nghiêm trọng hơn sẽ được triển khai nếu yêu cầu của họ không được đáp ứng.
Các cuộc tấn công từ chối dịch vụ (DDoS) là một phương pháp phổ biến để làm tê liệt các dịch vụ trực tuyến bằng cách làm quá tải hệ thống mục tiêu. Để hiểu rõ hơn về cách các cuộc tấn công này hoạt động và chiến lược giảm thiểu, bạn có thể tham khảo thêm tại Cloudflare về DDoS.
Ảnh Hưởng Ban Đầu của Các Tấn Công DDoS
Ngay sau khi thời hạn tối hậu thư kết thúc, nhiều công ty Đan Mạch và các tổ chức thuộc khu vực công đã báo cáo về tình trạng gián đoạn dịch vụ.
Đặc biệt, ngành năng lượng đã trở thành mục tiêu bị tấn công liên tục, gây ra nhiều lo ngại về an ninh hạ tầng trọng yếu.
Các nhà phân tích từ Truesec đã xác định Russian Legion là một nhóm đe dọa liên kết với nhà nước nhưng không được tài trợ trực tiếp.
Nhóm này hoạt động độc lập nhưng vẫn hỗ trợ các mục tiêu địa chính trị. Điều này phản ánh một xu hướng phổ biến trong các mối đe dọa mạng hiện nay.
Truesec cũng lưu ý rằng kiểu tấn công này tuân theo tiền lệ lịch sử, nơi các nhóm mạng liên kết với các thực thể cụ thể tăng cường hoạt động trong các cuộc xung đột quốc tế. Mục tiêu là tạo ra áp lực tâm lý và gây gián đoạn hoạt động.
Trước đó trong tuần, thành viên Inteid đã tiến hành các cuộc tấn công sơ bộ vào sundhed.dk, một cổng thông tin y tế quan trọng. Điều này chứng tỏ khả năng của nhóm trong việc gây gián đoạn dịch vụ chăm sóc sức khỏe.
Kỹ Thuật và Chiến Lược Tấn Công DDoS
Các cuộc tấn công chủ yếu tập trung vào việc làm quá tải hệ thống mục tiêu thông qua các kỹ thuật DDoS. Mục đích là khiến các trang web và dịch vụ trực tuyến tạm thời không thể truy cập được.
Theo tuyên bố công khai của các tác nhân đe dọa, cuộc tấn công chính được lên kế hoạch bắt đầu vào lúc 4 giờ chiều (giờ Đan Mạch), nhắm vào cả doanh nghiệp tư nhân và cơ sở hạ tầng chính phủ.
Russian Legion sử dụng chiến lược đa tầng, kết hợp gián đoạn kỹ thuật với các hoạt động tâm lý. Chúng tận dụng các dịch vụ DDoS-for-hire để tạo ra lượng truy cập lớn, làm quá tải mạng mục tiêu và làm cạn kiệt tài nguyên phòng thủ.
Chiến Thuật Tác Động Tâm Lý
Phương pháp tiếp cận của nhóm bắt đầu bằng các lời đe dọa công khai được phát tán qua các kênh Telegram.
Sau đó là các cuộc tấn công có tác động thấp, đóng vai trò như các cuộc trình diễn khả năng. Điều này giúp củng cố niềm tin vào các mối đe dọa sắp tới.
Các tác nhân đe dọa sau đó đăng ảnh chụp màn hình các trang web bị ảnh hưởng để khuếch đại nỗi sợ hãi và thu hút sự chú ý của truyền thông, ngay cả khi thiệt hại thực tế còn hạn chế.
Yếu tố tâm lý này nhằm mục đích tạo ra sự bất ổn trong dân chúng Đan Mạch và gây áp lực lên các nhà ra quyết định. Tuy nhiên, dữ liệu lịch sử cho thấy các chiến dịch này hiếm khi leo thang đến hậu quả thảm khốc khi các tổ chức triển khai các biện pháp phòng thủ phù hợp.
Biện Pháp Phòng Chống và Giảm Thiểu Tấn Công DDoS
Để đối phó với các tấn công DDoS, các tổ chức cần triển khai nhiều biện pháp bảo mật.
- Rate Limiting: Hạn chế số lượng yêu cầu mà một địa chỉ IP có thể gửi đến máy chủ trong một khoảng thời gian nhất định.
- Geo-blocking: Chặn lưu lượng truy cập từ các khu vực địa lý cụ thể không liên quan đến hoạt động của tổ chức.
- Dịch vụ bảo vệ DDoS chuyên dụng: Sử dụng các nhà cung cấp dịch vụ chuyên nghiệp có khả năng lọc và giảm thiểu các cuộc tấn công quy mô lớn.
Việc kết hợp các biện pháp này giúp tăng cường khả năng phục hồi của hệ thống. Đồng thời, nó bảo vệ chống lại các chiến lược gián đoạn đa tầng mà các nhóm như Russian Legion đang triển khai. Việc cập nhật bản vá bảo mật và tăng cường an ninh mạng là yếu tố then chốt.
Những thông tin từ Truesec cung cấp cái nhìn sâu sắc về bản chất của liên minh này. Bạn có thể đọc báo cáo gốc tại Truesec Blog.
