CyberThao
Writer
Hoạt động mạng đáng lo ngại từ các nhóm có liên hệ với chính phủ Iran
Các cơ quan an ninh mạng và tình báo Hoa Kỳ vừa phát đi cảnh báo chung về nguy cơ tấn công mạng từ các nhóm tin tặc có liên hệ hoặc được nhà nước Iran hậu thuẫn. Cảnh báo cho biết, trong vài tháng gần đây, hoạt động của các nhóm này, bao gồm cả hacktivist (tin tặc hoạt động vì lý do chính trị), đang gia tăng và có thể leo thang do căng thẳng chính trị gần đây.
Theo các cơ quan gồm Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA), Cục Điều tra Liên bang (FBI), Trung tâm Tội phạm Mạng Bộ Quốc phòng (DC3) và Cơ quan An ninh Quốc gia (NSA), hiện chưa có bằng chứng về chiến dịch tấn công mạng quy mô lớn tại Mỹ do Iran thực hiện. Tuy nhiên, mức độ cảnh giác cần được nâng cao, đặc biệt là với các công ty thuộc lĩnh vực công nghiệp quốc phòng (DIB), nhất là những đơn vị có liên hệ với các tổ chức nghiên cứu và quốc phòng của Israel.
Ngoài ra, các tổ chức tại Mỹ và Israel cũng có thể trở thành mục tiêu của các chiến dịch tấn công từ chối dịch vụ phân tán (DDoS) hoặc mã độc tống tiền (ransomware).
Phương thức tấn công ngày càng tinh vi và có tổ chức
Tin tặc Iran thường bắt đầu bằng các công cụ quét như Shodan để tìm kiếm các thiết bị có kết nối internet dễ bị tổn thương, đặc biệt là trong môi trường hệ thống điều khiển công nghiệp (ICS). Khi xâm nhập được, chúng khai thác các lỗi cấu hình bảo mật như tường lửa yếu hoặc phân vùng mạng không rõ ràng để di chuyển sang các hệ thống khác.
Các công cụ tấn công bao gồm phần mềm điều khiển từ xa (RAT), keylogger và thậm chí các công cụ quản trị hợp pháp như PsExec hoặc Mimikatz nhằm leo thang đặc quyền truy cập mà không bị phát hiện bởi các giải pháp bảo vệ điểm cuối cơ bản.
Dựa trên các chiến dịch trước đây, nhóm này còn sử dụng các kỹ thuật như dò mật khẩu tự động, bẻ khóa hash mật khẩu, và khai thác các mật khẩu mặc định của nhà sản xuất để xâm nhập thiết bị. Một số nhóm còn sử dụng công cụ kỹ thuật hệ thống và chẩn đoán để tấn công vào mạng điều hành công nghệ (OT).
Bản tin này được công bố chỉ vài ngày sau khi Bộ An ninh Nội địa Hoa Kỳ (DHS) đưa ra cảnh báo về khả năng xảy ra các “cuộc tấn công mạng quy mô nhỏ” từ các hacktivist thân Iran trong bối cảnh căng thẳng giữa Iran và Israel tiếp tục leo thang.
Trong một sự kiện liên quan, tuần trước, công ty an ninh mạng Check Point tiết lộ nhóm tin tặc APT35 của Iran đã nhắm mục tiêu vào các nhà báo, chuyên gia an ninh mạng cấp cao và giáo sư ngành khoa học máy tính tại Israel. Chúng sử dụng chiến thuật spear-phishing để chiếm đoạt tài khoản Google thông qua trang đăng nhập giả mạo hoặc lời mời Google Meet giả.
Khuyến nghị bảo vệ hệ thống khỏi nguy cơ bị tấn công
Các tổ chức được khuyến cáo thực hiện các biện pháp sau:
Ngắt kết nối các hệ thống OT và ICS khỏi mạng internet công cộng
Sử dụng mật khẩu mạnh, riêng biệt cho từng thiết bị và tài khoản, thay đổi mật khẩu mặc định, và kích hoạt xác thực đa yếu tố (MFA)
Đảm bảo MFA có khả năng chống phishing khi truy cập từ các mạng khác vào OT
Cập nhật bản vá phần mềm mới nhất để vá các lỗ hổng đã biết
Giám sát nhật ký truy cập từ xa vào hệ thống OT
Thiết lập quy trình OT nhằm ngăn chặn thay đổi trái phép, mất quyền kiểm soát hoặc quan sát
Sao lưu hệ thống và dữ liệu để đảm bảo phục hồi khi cần
Với các tổ chức chưa biết bắt đầu từ đâu, nên kiểm tra bề mặt tấn công bên ngoài: hệ thống nào đang mở, cổng nào đang lộ, dịch vụ nào đang chạy nhưng lỗi thời. Các công cụ như chương trình Cyber Hygiene của CISA hoặc phần mềm mã nguồn mở như Nmap sẽ giúp phát hiện điểm yếu trước khi tin tặc tìm ra.
Ngoài ra, việc triển khai theo mô hình MITRE ATT&CK giúp các tổ chức xác định và ưu tiên biện pháp phòng thủ dựa trên các chiến thuật thực tế của tin tặc.
Các cơ quan Hoa Kỳ kết luận: “Dù các bên tuyên bố ngừng bắn và đang đàm phán, các nhóm tin tặc thân Iran và hacktivist vẫn có thể tiến hành các hoạt động mạng độc hại.”
Đọc chi tiết tại đây: https://thehackernews.com/2025/06/us-agencies-warn-of-rising-iranian.html
Các cơ quan an ninh mạng và tình báo Hoa Kỳ vừa phát đi cảnh báo chung về nguy cơ tấn công mạng từ các nhóm tin tặc có liên hệ hoặc được nhà nước Iran hậu thuẫn. Cảnh báo cho biết, trong vài tháng gần đây, hoạt động của các nhóm này, bao gồm cả hacktivist (tin tặc hoạt động vì lý do chính trị), đang gia tăng và có thể leo thang do căng thẳng chính trị gần đây.
Theo các cơ quan gồm Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA), Cục Điều tra Liên bang (FBI), Trung tâm Tội phạm Mạng Bộ Quốc phòng (DC3) và Cơ quan An ninh Quốc gia (NSA), hiện chưa có bằng chứng về chiến dịch tấn công mạng quy mô lớn tại Mỹ do Iran thực hiện. Tuy nhiên, mức độ cảnh giác cần được nâng cao, đặc biệt là với các công ty thuộc lĩnh vực công nghiệp quốc phòng (DIB), nhất là những đơn vị có liên hệ với các tổ chức nghiên cứu và quốc phòng của Israel.
Ngoài ra, các tổ chức tại Mỹ và Israel cũng có thể trở thành mục tiêu của các chiến dịch tấn công từ chối dịch vụ phân tán (DDoS) hoặc mã độc tống tiền (ransomware).
Phương thức tấn công ngày càng tinh vi và có tổ chức
Tin tặc Iran thường bắt đầu bằng các công cụ quét như Shodan để tìm kiếm các thiết bị có kết nối internet dễ bị tổn thương, đặc biệt là trong môi trường hệ thống điều khiển công nghiệp (ICS). Khi xâm nhập được, chúng khai thác các lỗi cấu hình bảo mật như tường lửa yếu hoặc phân vùng mạng không rõ ràng để di chuyển sang các hệ thống khác.
Các công cụ tấn công bao gồm phần mềm điều khiển từ xa (RAT), keylogger và thậm chí các công cụ quản trị hợp pháp như PsExec hoặc Mimikatz nhằm leo thang đặc quyền truy cập mà không bị phát hiện bởi các giải pháp bảo vệ điểm cuối cơ bản.
Dựa trên các chiến dịch trước đây, nhóm này còn sử dụng các kỹ thuật như dò mật khẩu tự động, bẻ khóa hash mật khẩu, và khai thác các mật khẩu mặc định của nhà sản xuất để xâm nhập thiết bị. Một số nhóm còn sử dụng công cụ kỹ thuật hệ thống và chẩn đoán để tấn công vào mạng điều hành công nghệ (OT).
Bản tin này được công bố chỉ vài ngày sau khi Bộ An ninh Nội địa Hoa Kỳ (DHS) đưa ra cảnh báo về khả năng xảy ra các “cuộc tấn công mạng quy mô nhỏ” từ các hacktivist thân Iran trong bối cảnh căng thẳng giữa Iran và Israel tiếp tục leo thang.
Trong một sự kiện liên quan, tuần trước, công ty an ninh mạng Check Point tiết lộ nhóm tin tặc APT35 của Iran đã nhắm mục tiêu vào các nhà báo, chuyên gia an ninh mạng cấp cao và giáo sư ngành khoa học máy tính tại Israel. Chúng sử dụng chiến thuật spear-phishing để chiếm đoạt tài khoản Google thông qua trang đăng nhập giả mạo hoặc lời mời Google Meet giả.
Khuyến nghị bảo vệ hệ thống khỏi nguy cơ bị tấn công
Các tổ chức được khuyến cáo thực hiện các biện pháp sau:
Ngắt kết nối các hệ thống OT và ICS khỏi mạng internet công cộng
Sử dụng mật khẩu mạnh, riêng biệt cho từng thiết bị và tài khoản, thay đổi mật khẩu mặc định, và kích hoạt xác thực đa yếu tố (MFA)
Đảm bảo MFA có khả năng chống phishing khi truy cập từ các mạng khác vào OT
Cập nhật bản vá phần mềm mới nhất để vá các lỗ hổng đã biết
Giám sát nhật ký truy cập từ xa vào hệ thống OT
Thiết lập quy trình OT nhằm ngăn chặn thay đổi trái phép, mất quyền kiểm soát hoặc quan sát
Sao lưu hệ thống và dữ liệu để đảm bảo phục hồi khi cần
Với các tổ chức chưa biết bắt đầu từ đâu, nên kiểm tra bề mặt tấn công bên ngoài: hệ thống nào đang mở, cổng nào đang lộ, dịch vụ nào đang chạy nhưng lỗi thời. Các công cụ như chương trình Cyber Hygiene của CISA hoặc phần mềm mã nguồn mở như Nmap sẽ giúp phát hiện điểm yếu trước khi tin tặc tìm ra.
Ngoài ra, việc triển khai theo mô hình MITRE ATT&CK giúp các tổ chức xác định và ưu tiên biện pháp phòng thủ dựa trên các chiến thuật thực tế của tin tặc.
Các cơ quan Hoa Kỳ kết luận: “Dù các bên tuyên bố ngừng bắn và đang đàm phán, các nhóm tin tặc thân Iran và hacktivist vẫn có thể tiến hành các hoạt động mạng độc hại.”
Đọc chi tiết tại đây: https://thehackernews.com/2025/06/us-agencies-warn-of-rising-iranian.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview