Al-Tahery Al-Mashriky, 26 tuổi, đến từ Rotherham, South Yorkshire, đã bị tuyên án 20 tháng tù giam cho nhiều cáo buộc về xâm nhập mạng trái phép và đánh cắp dữ liệu. Vụ việc này là một phần của chiến dịch trấn áp lớn nhằm vào các mối đe dọa mạng do tư tưởng cực đoan thúc đẩy.

Danh Tính và Liên Kết với Nhóm Tin Tặc Cực Đoan

Al-Mashriky, có liên hệ với các nhóm tin tặc cực đoan như ‘Spider Team’ và ‘Yemen Cyber Army’, đã bị Cơ quan Tội phạm Quốc gia (NCA) bắt giữ vào tháng 8 năm 2022. Vụ bắt giữ diễn ra sau khi nhận được thông tin tình báo từ cơ quan thực thi pháp luật Hoa Kỳ.

Phân tích pháp y các thiết bị thu giữ của đối tượng, bao gồm máy tính xách tay và nhiều điện thoại di động, đã cho thấy một mô hình xâm nhập mạng tinh vi. Các mục tiêu bao gồm website của chính phủ, cơ quan truyền thông và các tổ chức tại Bắc Mỹ, Yemen và Israel.

Điều tra viên đã liên kết Al-Mashriky với các nhóm này thông qua hồ sơ mạng xã hội và dấu vết email tương ứng. Điều này đã phơi bày vai trò của hắn trong việc truyền bá các tư tưởng tôn giáo và chính trị thông qua hành vi phá hoại kỹ thuật số.

Kỹ Thuật Tấn Công và Chiến Thuật Xâm Nhập Mạng

Phương thức hoạt động (modus operandi) của Al-Mashriky bao gồm việc khai thác các lỗ hổng bảo mật trong hạ tầng web có mức độ bảo mật thấp để giành quyền truy cập trái phép. Sau đó, hắn triển khai các trang web ẩn chứa bí danh trực tuyến và nội dung tuyên truyền.

Hành vi thay đổi giao diện website (web defacement) này không chỉ làm gián đoạn chức năng của trang mà còn khuếch đại danh tiếng của hắn trên các diễn đàn hacker ngầm. Tại đây, Al-Mashriky khoe khoang việc đã xâm nhập thành công hơn 3.000 trang web chỉ trong vòng ba tháng vào năm 2022. Đây là một ví dụ điển hình về nguy cơ xâm nhập mạng quy mô lớn từ các tin tặc có động cơ tư tưởng.

Các cuộc tấn công thường được thực hiện thông qua việc sử dụng các công cụ quét lỗ hổng tự động. Những công cụ này giúp liệt kê tên người dùng và khai thác các điểm yếu trong cơ chế xác thực. Điều này cho thấy sự tận dụng các kỹ thuật tấn công phổ biến nhưng hiệu quả.

Rò Rỉ Dữ Liệu và Hậu Quả Nghiêm Trọng

Phân tích pháp y kỹ thuật số do các sĩ quan NCA thực hiện đã phát hiện một kho dữ liệu bất hợp pháp trên các thiết bị của Al-Mashriky. Kho dữ liệu này bao gồm thông tin nhận dạng cá nhân (PII) của hơn 4 triệu người dùng Facebook. Ngoài ra, còn có các bản ghi thông tin đăng nhập (credential dumps) chứa tên người dùng và mật khẩu cho các dịch vụ như Netflix và PayPal. Sự cố rò rỉ dữ liệu này đặc biệt nghiêm trọng do quy mô và tính chất nhạy cảm của thông tin.

Những tài sản bị đánh cắp này đặt ra một rủi ro nghiêm trọng cho các tội phạm mạng tiếp theo, bao gồm đánh cắp danh tính, chiếm đoạt tài khoản và gian lận tài chính. Điều này nhấn mạnh các mối đe dọa mạng leo thang từ các vụ vi phạm ban đầu, tạo ra hiệu ứng domino trong chuỗi tấn công.

Các Sự Cố Xâm Nhập Mạng Cụ Thể

• Tháng 2 năm 2022, Al-Mashriky đã xâm nhập vào trang web Israeli Live News. Hắn truy cập bảng quản trị và thực hiện việc đánh cắp toàn bộ nội dung của trang.
• Tương tự, hắn đã xâm nhập trái phép hai cổng thông tin chính phủ Yemen: Bộ Ngoại giao và Bộ Truyền thông An ninh. Hắn sử dụng máy quét lỗ hổng tự động để liệt kê tên người dùng và khai thác điểm yếu trong cơ chế xác thực của họ.
• Mở rộng phạm vi hoạt động, Al-Mashriky nhắm mục tiêu vào các trang web tôn giáo ở Canada và Hoa Kỳ. Hắn cũng tấn công hạ tầng trực tuyến của California State Water Board, gây ra gián đoạn hoạt động và phát sinh chi phí khắc phục đáng kể cho các đơn vị bị ảnh hưởng.

Tuyên Án và Bài Học về An Ninh Mạng

Ban đầu, Al-Mashriky dự kiến ra tòa tại Tòa án Sheffield Crown vào tháng 3 năm 2025 với 10 cáo buộc theo Đạo luật Lạm dụng Máy tính (Computer Misuse Act). Tuy nhiên, hắn đã nhận tội 9 tội danh vào ngày 17 tháng 3, dẫn đến việc tuyên án vào ngày 15 tháng 8.

Phó Giám đốc NCA Paul Foster, người đứng đầu Đơn vị Tội phạm Mạng Quốc gia, nhấn mạnh rằng vụ án này đã chứng minh năng lực điều tra tiên tiến trong việc bóc trần những kẻ phạm tội.

“Các vụ xâm nhập mạng của Al-Mashriky đã dẫn đến tình trạng thay đổi giao diện website và gián đoạn dịch vụ trên diện rộng, hoàn toàn nhằm mục đích thúc đẩy chương trình tư tưởng của Yemen Cyber Army,” Foster tuyên bố. “Hơn nữa, PII bị đánh cắp có thể đã tạo điều kiện cho các vụ gian lận quy mô lớn chống lại hàng triệu người. Kết quả này khẳng định rằng ngay cả những tội phạm mạng dường như ẩn danh cũng có thể bị truy tìm và truy tố thông qua pháp y kỹ thuật số mạnh mẽ và quan hệ đối tác toàn cầu.” NCA News Release

Chỉ Số IOCs (Indicators of Compromise)

Dựa trên thông tin điều tra, các chỉ số thỏa hiệp (IOCs) liên quan đến các hoạt động của Al-Mashriky bao gồm:

• Các nhóm hacker liên kết:
  • Spider Team
  • Yemen Cyber Army
• Loại dữ liệu bị rò rỉ:
  • Thông tin nhận dạng cá nhân (PII) từ người dùng Facebook (hơn 4 triệu bản ghi).
  • Thông tin đăng nhập (credential dumps) bao gồm tên người dùng và mật khẩu cho các dịch vụ như Netflix và PayPal.
• Hành vi tấn công:
  • Khai thác lỗ hổng hạ tầng web bảo mật thấp.
  • Sử dụng máy quét lỗ hổng tự động để liệt kê tên người dùng và khai thác cơ chế xác thực.
  • Thay đổi giao diện website (web defacement) để chèn nội dung tuyên truyền.
  • Truy cập bảng quản trị website trái phép.
  • Thực hiện đánh cắp dữ liệu toàn diện từ các website mục tiêu.
• Mục tiêu bị ảnh hưởng (ví dụ):
  • Website Israeli Live News
  • Cổng thông tin Bộ Ngoại giao Yemen
  • Cổng thông tin Bộ Truyền thông An ninh Yemen
  • Các trang web tôn giáo ở Canada và Hoa Kỳ
  • Hạ tầng trực tuyến California State Water Board

Khuyến Nghị Phòng Ngừa Mối Đe Dọa Mạng

Vụ việc này là một lời nhắc nhở rõ ràng về bối cảnh ngày càng phát triển của hacktivism, nơi các khai thác có rào cản thấp như SQL injection hoặc tấn công nhồi nhét thông tin đăng nhập (credential stuffing) có thể dẫn đến các vụ rò rỉ dữ liệu có tác động cao.

Các chuyên gia an ninh mạng nhấn mạnh rằng những trường hợp như thế này cho thấy các tổ chức cần triển khai hệ thống phòng thủ đa lớp. Điều này bao gồm đánh giá lỗ hổng định kỳ, hệ thống phát hiện xâm nhập mạng (IDS), và tuân thủ các khung bảo mật như NIST hoặc ISO 27001. Việc này nhằm chống lại các mối đe dọa mạng tương tự từ các tác nhân do nhà nước bảo trợ hoặc do tư tưởng cực đoan thúc đẩy.

Đảm bảo an toàn thông tin đòi hỏi sự cảnh giác liên tục và việc áp dụng các biện pháp bảo mật toàn diện để giảm thiểu nguy cơ bị tấn công và bảo vệ dữ liệu nhạy cảm. Việc đầu tư vào an ninh mạng không chỉ là chi phí mà còn là bảo vệ tài sản và uy tín của tổ chức trước những mối đe dọa mạng ngày càng phức tạp.