Tấn Công Mạng Iran: Hơn 35 Nhóm Tin Tặc Liên Hồi Nhắm Israel

Trong khoảng thời gian từ tháng 6 năm 2024 đến tháng 6 năm 2025, một làn sóng các cuộc tấn công mạng phối hợp từ hơn 35 nhóm tin tặc ủng hộ Iran đã nhắm mục tiêu vào các tổ chức quân sự, chính phủ và cơ sở hạ tầng quan trọng của Israel. Hoạt động này thể hiện một sự chênh lệch đáng kể so với phản ứng từ chỉ khoảng 4-5 nhóm tin tặc ủng hộ Israel được xác định. Các cuộc tấn công chủ yếu bao gồm tấn công từ chối dịch vụ phân tán (DDoS), thay đổi giao diện trang web (defacement) và các cáo buộc về vi phạm dữ liệu.

Các nền tảng và nạn nhân bị nhắm mục tiêu rất đa dạng, từ các tổ chức quân sự và tình báo đến dịch vụ dân sự và y tế. Cụ thể, các mục tiêu bao gồm:

• Bộ Quốc phòng Israel
• Đơn vị 8200 (Quân đoàn Tình báo Israel)
• Căn cứ không quân Nevatim
• Các dịch vụ dân sự quan trọng như hệ thống điều hướng hàng không và hệ thống điều hướng hàng hải
• Các tổ chức giáo dục
• Các trung tâm y tế, điển hình là Trung tâm Y tế Barzilai

Các loại tấn công và chiến thuật được áp dụng cũng đa dạng, từ những phương pháp cơ bản đến phức tạp hơn, phản ánh sự phối hợp giữa nhiều nhóm với các khả năng khác nhau:

• Tấn công từ chối dịch vụ phân tán (DDoS): Các cuộc tấn công DDoS Lớp 7 đã được một số nhóm như Lực Lượng Đặc Biệt Quân Đội Điện Tử sử dụng để làm quá tải các dịch vụ web. Tấn công DDoS Lớp 7 nhắm vào lớp ứng dụng của mô hình OSI, nơi các yêu cầu hợp pháp được xử lý, gây tiêu hao tài nguyên máy chủ và làm gián đoạn khả năng truy cập dịch vụ của người dùng.
• Thay đổi giao diện trang web (Website Defacements): Đây là hành vi thay đổi hoặc phá hoại nội dung của các trang web để truyền bá thông điệp tuyên truyền hoặc thông tin sai lệch. Mục tiêu không chỉ là gây gián đoạn kỹ thuật mà còn tạo ra hiệu ứng tâm lý, gieo rắc sự hỗn loạn và mất lòng tin.
• Vi phạm dữ liệu (Data Breaches): Các nhóm tin tặc đã đưa ra nhiều tuyên bố về việc rò rỉ thông tin xác thực. Tuy nhiên, phần lớn các tuyên bố này có mức độ xác minh hạn chế và thường liên quan đến việc tái sử dụng dữ liệu bị rò rỉ từ các vụ việc cũ thay vì là kết quả của các cuộc xâm nhập mới. Điều này nhấn mạnh khía cạnh chiến tranh tâm lý và thông tin sai lệch trong các chiến dịch.

Bên cạnh các chiến thuật phổ biến trên, các nhóm tấn công còn triển khai những phương pháp tinh vi hơn, đặc biệt đáng chú ý là:

• Tấn công hệ thống điều khiển công nghiệp (ICS Attacks): Nhóm Unified Islamic Cyber Resistance đã nhắm mục tiêu vào các hệ thống quản lý đội xe điện. Hoạt động này cho thấy nỗ lực gây gián đoạn hoạt động không chỉ giới hạn trong các mạng công nghệ thông tin (IT) truyền thống mà còn mở rộng sang các hệ thống công nghệ vận hành (OT), vốn là xương sống của cơ sở hạ tầng quan trọng. Tấn công ICS có thể gây ra những hậu quả vật lý nghiêm trọng, từ mất điện đến hỏng hóc thiết bị.

Các tổ chức tin tặc ủng hộ Iran tham gia vào các chiến dịch này bao gồm, nhưng không giới hạn ở:

• HackYourMom
• Liwa Muhammad ﷺ
• Các kênh liên kết với IRGC (Vệ binh Cách mạng Hồi giáo Iran)

Các nhóm này đã công khai nhận trách nhiệm về việc rò rỉ thông tin xác thực, gây gián đoạn cơ sở hạ tầng, và thậm chí thổi phồng các tuyên bố về tấn công tên lửa. Mục đích chính là làm mất ổn định môi trường kỹ thuật số của Israel đồng thời khuếch đại tác động thông qua các chiến dịch thông tin sai lệch.

Các chiến dịch này đặc biệt nổi bật với việc sử dụng các chiến thuật phóng đại và chiến tranh tâm lý. Những đặc điểm chính bao gồm:

• Nhận trách nhiệm cho các sự cố dịch vụ không liên quan: Các nhóm thường lợi dụng các sự cố kỹ thuật thông thường hoặc không liên quan để tuyên bố đó là kết quả của các cuộc tấn công mạng của mình, nhằm khuếch đại cảm giác về khả năng và tầm ảnh hưởng.
• Tái sử dụng dữ liệu đã bị rò rỉ trước đó: Thay vì tiến hành các cuộc xâm nhập mới để thu thập dữ liệu, các nhóm này thường trình bày lại các bộ dữ liệu cũ đã bị rò rỉ công khai như là bằng chứng cho các vi phạm dữ liệu mới, gây hiểu lầm và làm hoang mang dư luận.
• Thổi phồng thiệt hại trong các báo cáo truyền thông: Các báo cáo về thiệt hại thường bị phóng đại để tạo ra tác động tâm lý lớn hơn, góp phần vào chiến lược chiến tranh tâm lý tổng thể.

Mô hình hoạt động này phản ánh một cách tiếp cận chiến lược, nơi các cuộc tấn công kỹ thuật được kết hợp chặt chẽ với các hoạt động tâm lý nhằm đạt được các mục tiêu rộng lớn hơn, không chỉ dừng lại ở việc gây gián đoạn mạng lưới.

Tổng quan về mức độ phức tạp kỹ thuật

Bảng dưới đây so sánh mức độ tinh vi của các nhóm tin tặc ủng hộ Iran và các nhóm ủng hộ Israel trong giai đoạn này:

Sự tiến hóa chiến thuật tối thiểu của các nhóm ủng hộ Iran trong suốt một năm cho thấy rằng mặc dù số lượng nhóm tham gia đông đảo và phạm vi tấn công rộng, các kỹ thuật cốt lõi của họ không thay đổi nhiều. Điều này có thể ảnh hưởng đến khả năng thích ứng và đối phó của các tổ chức phòng thủ.

Kỹ thuật MITRE ATT&CK được đề cập hoặc ngụ ý

Mặc dù tài liệu không cung cấp các ID kỹ thuật MITRE ATT&CK rõ ràng, nhưng dựa trên các hoạt động được mô tả, các kỹ thuật sau có thể được suy ra và liên kết:

Các kỹ thuật này giúp các chuyên gia bảo mật và quản trị hệ thống hiểu rõ hơn về cách thức các cuộc tấn công được thực hiện và cách mà chúng có thể được phân loại trong khuôn khổ tình báo mối đe dọa.

Trong bối cảnh tổng thể của chiến dịch này, các chuyên gia bảo mật cần đặc biệt chú ý đến một số điểm chính để tích hợp vào chiến lược SOC (Security Operations Center) và TIP (Threat Intelligence Platform) của họ.

Các tác nhân đe dọa

Hơn 35 nhóm tin tặc ủng hộ Iran đã hoạt động mạnh mẽ, trong đó nổi bật là HackYourMom, Liwa Muhammad ﷺ, và các kênh liên kết với IRGC. Đặc biệt, nhóm Unified Islamic Cyber Resistance chịu trách nhiệm cho các hoạt động liên quan đến ICS, cho thấy một cấp độ khả năng kỹ thuật cao hơn.

Các mục tiêu chiến lược

Các mục tiêu chính bao gồm các thực thể quốc phòng và tình báo như Bộ Quốc phòng Israel và Đơn vị 8200, cùng với các cơ sở hạ tầng quan trọng như Căn cứ không quân Nevatim, hệ thống điều hướng hàng không và hàng hải, các tổ chức giáo dục và Trung tâm Y tế Barzilai. Sự đa dạng trong mục tiêu phản ánh một nỗ lực toàn diện nhằm gây gián đoạn trên nhiều lĩnh vực.

Các chiến thuật và kỹ thuật chính

Các cuộc tấn công chủ yếu bao gồm tấn công DDoS Lớp 7, thay đổi giao diện trang web, và các tuyên bố rò rỉ thông tin xác thực. Đáng chú ý là các cuộc tấn công vào hệ thống điều khiển công nghiệp nhắm vào quản lý đội xe điện, cho thấy xu hướng mở rộng phạm vi tấn công sang các hệ thống OT quan trọng. Cần lưu ý rằng không có định danh CVE cụ thể nào được cung cấp liên quan đến các cuộc tấn công này.

Chiến thuật thông tin sai lệch

Một phần quan trọng của chiến dịch là các TTP (Tactics, Techniques, and Procedures) thông tin sai lệch. Các nhóm đã sử dụng các tuyên bố phóng đại về thiệt hại, tái sử dụng dữ liệu rò rỉ cũ, và nhận trách nhiệm cho các sự cố không liên quan. Điều này cho thấy rằng mục tiêu không chỉ là gây thiệt hại kỹ thuật mà còn là gây ra tác động tâm lý và làm mất ổn định niềm tin của công chúng.

Quan sát và đánh giá

Sự chênh lệch đáng kể về số lượng giữa các nhóm ủng hộ Iran (hơn 35 nhóm) và các nhóm ủng hộ Israel (khoảng 4-5 nhóm) là một điểm đáng chú ý. Mặc dù có số lượng đông đảo, các nhóm tấn công ủng hộ Iran cho thấy tiến hóa chiến thuật tối thiểu trong hơn một năm, kết hợp cả các phương pháp tấn công cơ bản và nâng cao. Điều này đòi hỏi các tổ chức phòng thủ phải có chiến lược toàn diện để đối phó với cả các mối đe dọa cấp độ thấp và các cuộc tấn công tinh vi hơn.