Một mạng lưới tin tặc tinh vi có liên hệ với Quân đoàn Vệ binh Cách mạng Hồi giáo Iran (IRGC) đã triển khai một loạt các chiến dịch tấn công mạng quy mô lớn. Các hoạt động này được thiết kế để gây gián đoạn cho các đối thủ, đánh cắp dữ liệu nhạy cảm và truyền bá các thông điệp ý thức hệ.

Nhóm threat intelligence STRIKE của SecurityScorecard đã thực hiện phân tích sâu rộng. Họ xem xét hơn 250.000 tin nhắn từ 178 nhóm hoạt động khác nhau. Phân tích này đã hé lộ một chiến dịch kỹ thuật số được phối hợp chặt chẽ. Chiến dịch này phản ánh chính xác các hành động quân sự trên thực địa, cho thấy sự tích hợp độc đáo giữa chiến tranh vật lý và không gian mạng.

Phân Tích Chiến Dịch Tấn Công Mạng của Các Nhóm Liên Kết IRGC

Phương Thức và Mục Tiêu Của Các Cuộc Tấn Công

Các hoạt động mạng này bao gồm nhiều kỹ thuật tiên tiến. Chúng sử dụng các kỹ thuật trinh sát mạng chuyên sâu để thu thập thông tin về mục tiêu. Song song đó, việc quét các lỗ hổng zero-day được thực hiện để tìm kiếm điểm yếu trong hệ thống.

Sau khi xác định được các lỗ hổng, các tác nhân đe dọa sẽ triển khai các tập lệnh mã độc tùy chỉnh. Thời gian của các cuộc tấn công mạng này được đồng bộ hóa một cách tỉ mỉ. Chúng trùng khớp với các cuộc không kích và các hoạt động xâm nhập biên giới vật lý, cho thấy một chiến lược tổng thể và phối hợp.

Các tác nhân đe dọa trong chiến dịch rất đa dạng. Họ bao gồm các thực thể do nhà nước tài trợ và các nhóm hacktivist có cùng ý thức hệ. Đặc biệt, họ đã tận dụng triệt để các kênh Telegram. Các kênh này đóng vai trò là trung tâm tập trung cho việc tuyển dụng thành viên, phối hợp nhiệm vụ và chia sẻ thông tin tình báo quan trọng.

Khả năng phối hợp linh hoạt này giúp các nhóm phản ứng nhanh chóng. Họ có thể thích nghi với các động lực xung đột đang diễn ra. Sự tích hợp các chiến thuật, kỹ thuật và quy trình (TTPs) của không gian mạng với chiến tranh vật lý đã tạo ra một mô hình chiến đấu mới.

Trong mô hình này, các tên miền lừa đảo (phishing domains) và các chiêu trò kỹ thuật xã hội (social engineering) đã được vũ khí hóa. Chúng được sử dụng để khai thác các điểm yếu cảm xúc liên quan đến xung đột. Chẳng hạn, các chiến dịch tuyên truyền được khuếch đại để ủng hộ các nguyên nhân của người Palestine hoặc để đe dọa các đồng minh của Israel.

Các Nhóm Tác Nhân Chính Thực Hiện Xâm Nhập Mạng

Phân tích chi tiết đã xác định ba loại tác nhân đe dọa chính tham gia vào các chiến dịch xâm nhập mạng này, mỗi loại có mức độ liên kết và cấu trúc khác nhau:

• Hacktivist liên kết lỏng lẻo: Các nhóm này hoạt động mà không có sự giám sát trực tiếp từ IRGC. Tuy nhiên, các hoạt động của họ vẫn phù hợp với các ưu tiên và mục tiêu chiến lược của IRGC.
• Các nhóm IRGC có cấu trúc: Đây là các nhóm được tổ chức chặt chẽ hơn, thực hiện các chiến dịch có mục tiêu cụ thể và được chỉ đạo rõ ràng.
• Các nhóm được nhà nước tài trợ hoàn toàn: Điển hình là Imperial Kitten, một nhóm cao cấp được biết đến với nhiều tên khác như Tortoiseshell, Cuboid Sandstorm, hoặc Yellow Liderc.

Các thực thể này tập trung tấn công vào các lĩnh vực có giá trị cao. Bao gồm các tổ chức tài chính quan trọng, các cơ quan chính phủ và các hãng truyền thông lớn. Chúng sử dụng một loạt các phương pháp tấn công hiệu quả.

Các phương pháp này bao gồm tấn công SQL injection để khai thác lỗ hổng cơ sở dữ liệu. Đồng thời, các cuộc tấn công từ chối dịch vụ phân tán (DDoS) cũng được sử dụng rộng rãi để làm tê liệt các dịch vụ. Ngoài ra, các phương pháp đánh cắp dữ liệu (data exfiltration) được triển khai để thu thập thông tin tình báo và gây gián đoạn hệ thống.

Ví dụ cụ thể về các hoạt động này bao gồm các nhóm như Fatimion Cyber Team và Cyber Fattah. Họ đã tiến hành các hoạt động làm biến dạng trang web (defacement) và các chiến dịch lừa đảo (phishing) chứa mã độc. Trong khi đó, nhóm Tunisian Maskers Cyber Force không chỉ có động cơ tài chính mà còn kết hợp mục tiêu ý thức hệ. Họ thực hiện các cuộc tấn công để trừng phạt những người mà họ coi là cộng tác viên của đối thủ.

Đồng Bộ Hóa Giữa Cyber và Chiến Tranh Kinetic

Báo cáo của STRIKE đã phát hiện bằng chứng rõ ràng về cơ sở hạ tầng được lên kế hoạch từ trước. Điều này bao gồm các bộ công cụ lừa đảo (phishing kits) được thiết kế đặc biệt. Những công cụ này có khả năng điều chỉnh chiêu trò theo thời gian thực để phù hợp với các leo thang quân sự.

Phát hiện này cho thấy một mức độ đồng bộ hóa sâu sắc. Nó tồn tại giữa chu kỳ nhiệm vụ của IRGC và các hoạt động không gian mạng. Một ví dụ nổi bật là hoạt động của Imperial Kitten.

Nhóm này đã nhanh chóng thay đổi các chiến thuật kỹ thuật xã hội của mình. Họ bắt đầu kết hợp các mồi nhử có chủ đề xung đột. Mã độc được triển khai thông qua các email lừa đảo (phishing emails) giả mạo các thông tin liên lạc khẩn cấp trong thời chiến.

Sự thay đổi chiến thuật này diễn ra gần như ngay lập tức sau khi xung đột bắt đầu. Điều đó chứng tỏ khả năng vượt trội của nhóm trong việc tích hợp với các chiến lược rộng lớn hơn của IRGC. Họ không chỉ dừng lại ở các hoạt động gián điệp truyền thống. Mà còn bao gồm cả các hoạt động đe dọa và công bố dữ liệu (data dumps).

Mục tiêu của các hoạt động này là làm suy yếu tinh thần của Israel và các đồng minh. Các nhóm khác, như Cyber Islamic Resistance, tập trung mạnh vào các hoạt động trinh sát và khai thác lỗ hổng.

Mục đích chính là tạo điều kiện thuận lợi cho việc đánh cắp dữ liệu. Họ thường phối hợp các vụ công bố dữ liệu để tối đa hóa tác động công chúng. Điều này cũng nhằm gieo rắc hỗn loạn trong các thời kỳ giao tranh cao điểm, tăng cường tác động của cuộc tấn công mạng.

Chỉ Số Thỏa Hiệp (IOCs) và TTPs Nổi Bật

Các chỉ số thỏa hiệp (Indicators of Compromise – IOCs) và các chiến thuật, kỹ thuật, quy trình (TTPs) liên quan đến các chiến dịch tấn công mạng này bao gồm:

• Tên miền lừa đảo (Phishing Domains): Được thay đổi linh hoạt và nhanh chóng. Chúng thích ứng với các diễn biến quân sự và các chủ đề xung đột để tối đa hóa hiệu quả.
• Mã độc tùy chỉnh (Custom Malware Scripts): Các biến thể mã độc được phát triển riêng và triển khai thông qua các chiến dịch lừa đảo mục tiêu.
• Chiến thuật, Kỹ thuật và Quy trình (TTPs):
  • Sử dụng các kênh Telegram làm trung tâm điều phối. Bao gồm tuyển dụng, phân công nhiệm vụ và chia sẻ thông tin tình báo.
  • Thực hiện kỹ thuật trinh sát mạng và quét lỗ hổng hệ thống.
  • Tấn công SQL injection để truy cập và khai thác cơ sở dữ liệu.
  • Thực hiện các cuộc tấn công DDoS để làm gián đoạn dịch vụ và gây tắc nghẽn mạng.
  • Đánh cắp và công bố dữ liệu (data exfiltration and dumps) để gây thiệt hại danh tiếng và thu thập thông tin tình báo.
  • Sử dụng các kỹ thuật xã hội (social engineering) với mồi nhử dựa trên cảm xúc và tình hình xung đột.
• Các Nhóm Tác Nhân Đe Dọa (Threat Actor Groups):
  • Fatimion Cyber Team
  • Cyber Fattah
  • Tunisian Maskers Cyber Force
  • Imperial Kitten (còn gọi là Tortoiseshell, Cuboid Sandstorm, Yellow Liderc)
  • Cyber Islamic Resistance

Khuyến Nghị Phòng Thủ và Giám Sát Mối Đe Dọa Mạng

Đối mặt với các mối đe dọa ngày càng phức tạp này, các chuyên gia an ninh mạng cần ưu tiên giám sát theo thời gian thực các cuộc trò chuyện của hacker. Đặc biệt là trên các nền tảng truyền thông được sử dụng rộng rãi như Telegram.

Việc này không thể chỉ dựa vào các TTPs và IOCs trong quá khứ. Thay vào đó, cần có một phương pháp tiếp cận chủ động và thích ứng hơn. Báo cáo của SecurityScorecard nhấn mạnh rằng các chiến dịch này là sự kết hợp của chủ nghĩa cơ hội và nhiệm vụ có cấu trúc rõ ràng.

Trong đó, các kỹ thuật cơ bản như DDoS vẫn giữ giá trị gây rối loạn cao. Đặc biệt khi chúng được khuếch đại bởi sự nhiệt thành về ý thức hệ và được phối hợp chặt chẽ với các hoạt động khác. Để đọc chi tiết hơn về phân tích chuyên sâu này, bạn có thể tham khảo báo cáo đầy đủ từ SecurityScorecard:

From the Depths of the Shadows: IRGC and Hacker Collectives of the 12-Day War

Khi các tác nhân ủy nhiệm trong không gian mạng phát triển song song với các cuộc xung đột vật lý, các tổ chức toàn cầu phải đối mặt với các mối đe dọa dai dẳng. Những mối đe dọa này không chỉ giới hạn trong biên giới khu vực.

Điều này đòi hỏi các biện pháp phòng thủ thích ứng và toàn diện. Các biện pháp này cần tính đến sự giao thoa phức tạp giữa việc phân phối mã độc, phối hợp tuyên truyền và các hoạt động tình báo. Cuộc tấn công kỹ thuật số này không chỉ hỗ trợ mục tiêu chiến tranh của Iran. Nó còn minh họa rõ ràng cách các tác nhân liên kết với nhà nước có thể dàn dựng các cuộc tấn công mạng đa diện để đạt được lợi thế chiến lược trong môi trường chiến tranh hỗn hợp.