Cuộc xung đột hiện đại đang chứng kiến sự xóa mờ ranh giới giữa các tấn công mạng và chiến tranh vật lý. Các quốc gia đang thay đổi căn bản cách thức tiến hành hoạt động quân sự, biến mối đe dọa mạng thành một phần không thể tách rời của chiến lược tổng thể.

Thay vì coi an ninh mạng và hoạt động quân sự là các hoạt động riêng biệt, các quốc gia thù địch hiện đang kết hợp chúng trong các chiến dịch phối hợp. Những cuộc tấn công mới này bắt đầu bằng các hoạt động số được thiết kế đặc biệt để thu thập thông tin.

Thông tin này sau đó hỗ trợ các cuộc tấn công quân sự vật lý. Điều này đại diện cho một sự thay đổi lớn trong các mối đe dọa mạng toàn cầu mà các tổ chức trên toàn thế giới cần hiểu rõ và chuẩn bị.

Sự Chuyển Đổi Từ Trinh Sát Mạng Sang Tấn Công Vật Lý

Cách tiếp cận truyền thống về bảo mật thường coi các mối đe dọa mạng và nguy hiểm vật lý là những vấn đề hoàn toàn riêng biệt. Các đội an ninh mạng tập trung vào mạng và hệ thống.

Trong khi đó, các đội quân sự và an ninh vật lý xử lý các mối lo ngại khác. Tuy nhiên, các cuộc điều tra gần đây cho thấy sự tách biệt này không còn tồn tại trong thực tế.

Các nhóm đe dọa do nhà nước tài trợ đang kết nối trinh sát mạng trực tiếp với nhắm mục tiêu động lực. Điều này tạo ra một chiến lược tấn công thống nhất, nguy hiểm hơn nhiều so với các cuộc tấn công mạng truyền thống đơn thuần.

Các nhà phân tích bảo mật của AWS đã xác định xu hướng này sau khi quan sát nhiều chiến dịch phối hợp trên các lĩnh vực hạ tầng quan trọng khác nhau. Nguồn thông tin chi tiết này được đăng tải trên blog của AWS: New Amazon Threat Intelligence Findings: Nation-state actors bridging cyber and kinetic warfare.

Họ phát hiện ra rằng các tác nhân đe dọa đang sử dụng các hoạt động mạng một cách có phương pháp. Mục đích là để thu thập thông tin tình báo thời gian thực, hỗ trợ trực tiếp các quyết định nhắm mục tiêu quân sự. Đây là một mối đe dọa mạng cấp độ cao.

Kỹ Thuật Xâm Nhập Mạng và Thu Thập Tình Báo

Các phương pháp kỹ thuật mà những tác nhân đe dọa này sử dụng cho thấy sự phối hợp và lập kế hoạch ấn tượng. Chúng sử dụng nhiều lớp công cụ bảo mật để che giấu vị trí thực của mình.

Bắt đầu bằng các mạng VPN ẩn danh để che mờ nguồn gốc, khiến việc truy vết trở nên thách thức. Nghiên cứu mới cũng đã khám phá ra mối liên hệ giữa các ứng dụng VPN: New Research Uncovers Connection Between VPN Apps.

Chúng thiết lập các máy chủ chuyên dụng dưới sự kiểm soát của mình để duy trì quyền truy cập liên tục và khả năng chỉ huy. Một khi chúng đã xâm nhập mạng và kiểm soát các hệ thống doanh nghiệp.

Các hệ thống này lưu trữ hạ tầng quan trọng như camera an ninh hoặc nền tảng hàng hải. Chúng thiết lập các kênh truyền dữ liệu theo thời gian thực. Các nguồn cấp dữ liệu trực tiếp từ camera và cảm biến bị xâm nhập này cung cấp thông tin tình báo có thể hành động.

Thông tin này giúp các tác nhân đe dọa có thể điều chỉnh các quyết định nhắm mục tiêu gần như theo thời gian thực. Sự phát triển này làm tăng mức độ nghiêm trọng của mối đe dọa mạng hiện nay.

Ví Dụ Thực Tế Về Chiến Dịch Tấn Công Mạng-Kiếm Động

Có hai trường hợp cụ thể minh họa rõ ràng cách thức các tấn công mạng này được tích hợp vào các hành động quân sự vật lý:

Nhóm Đe Dọa Imperial Kitten

Một ví dụ rõ ràng liên quan đến Imperial Kitten, một nhóm đe dọa được liên kết với Vệ binh Cách mạng Hồi giáo Iran. Chúng đã xâm nhập mạng vào các hệ thống tàu biển bắt đầu từ tháng 12 năm 2021.

Đến tháng 8 năm 2022, chúng đã giành được quyền truy cập vào camera CCTV trên tàu. Sau đó, vào tháng 1 năm 2024, chúng tiến hành tìm kiếm mục tiêu các vị trí tàu cụ thể. Chỉ vài tuần sau đó, vào tháng 2 năm 2024, các cuộc tấn công tên lửa đã nhắm vào chính xác con tàu mà chúng đã theo dõi.

Điều này cho thấy mối tương quan trực tiếp giữa trinh sát mạng và các cuộc tấn công vật lý. Để biết thêm chi tiết về trinh sát mạng, tham khảo: Morphing Meerkat PhaaS Using DNS Reconnaissance.

Nhóm Đe Dọa MuddyWater

Trường hợp thứ hai liên quan đến MuddyWater, một nhóm đe dọa khác của Iran. Chúng đã sử dụng camera an ninh bị xâm nhập mạng ở Jerusalem để thu thập thông tin tình báo thời gian thực trước các cuộc tấn công tên lửa vào tháng 6 năm 2025.

Chiến dịch này được phân tích sâu hơn tại: MuddyWater Hackers Abusing RMM Tool Deliver Malware.

Cả hai trường hợp này đều chứng minh cách các hoạt động mạng và hành động quân sự vật lý hiện đang hoạt động như các chiến lược thống nhất. Đây không còn là các mối đe dọa mạng riêng biệt. Đây là một sự tiến hóa đáng báo động trong cách các quốc gia tiến hành chiến tranh.

Các Chỉ Số Thỏa Hiệp (IOCs)

Dựa trên nội dung kỹ thuật, các nhóm đe dọa sau đây được xác định là tác nhân trong các chiến dịch này:

• Imperial Kitten: Nhóm đe dọa liên kết với Vệ binh Cách mạng Hồi giáo Iran, nhắm mục tiêu vào các hệ thống tàu biển.
• MuddyWater: Nhóm đe dọa của Iran, sử dụng camera an ninh bị xâm nhập để thu thập tình báo.

Nâng Cao An Ninh Mạng Để Đối Phó Với Mối Đe Dọa Kết Hợp

Sự hợp nhất này đòi hỏi một cách tiếp cận toàn diện hơn đối với an ninh mạng. Các tổ chức cần chuẩn bị cho các chiến lược tấn công tích hợp, nơi hoạt động mạng và hành động vật lý không còn là riêng biệt.

Hiểu rõ bản chất của mối đe dọa mạng mới này là cực kỳ quan trọng. Việc này giúp phát triển các biện pháp phòng thủ hiệu quả, bảo vệ hạ tầng quan trọng khỏi các chiến dịch phức tạp và phối hợp của các tác nhân nhà nước.