Blumira Phát Hiện 824 Vụ Tấn Công Mạng Từ Iran Trong 21 Tháng

July 19, 2025
12:21 am

Công ty Blumira, chuyên về nền tảng an ninh mạng, vừa công bố một báo cáo tình báo cho thấy họ đã theo dõi 824 sự cố an ninh mạng mà họ cho là do các nhóm tin tặc Iran gây ra trong vòng 21 tháng. Báo cáo này cung cấp cái nhìn sâu sắc về các hoạt động đe dọa gần đây của Iran.

Blumira hiện đang bảo vệ khoảng 18.000 tổ chức, và những gì họ quan sát được khá trùng khớp với các đánh giá gần đây của chính phủ. Họ đã ghi nhận 383 nỗ lực tấn công kiểu “brute force” (dò mật khẩu bằng cách thử mọi khả năng) vào giao thức Remote Desktop Protocol (RDP), 27 cuộc tấn công vào giao thức Secure Shell (SSH) thường dùng để truy cập từ xa, và 414 lần quét các ứng dụng web. Tất cả những sự cố này đều xuất phát từ 67 địa chỉ IP duy nhất của Iran.

Zoe Lindsey, một giám đốc tại Blumira, chia sẻ rằng họ đang chứng kiến rất nhiều kiểu tấn công khác nhau. “Chúng tôi thấy họ tấn công trên mọi mặt trận, từ những hành động gây rối và tạo tiếng vang trên truyền thông, đến những cuộc tấn công ngày càng nhắm mục tiêu cụ thể và có tính chiến lược hơn. Họ đang nhắm vào các lĩnh vực như logistics, cơ sở hạ tầng viễn thông, và đặc biệt là các tổ chức nhỏ hơn trong chuỗi cung ứng – những đối tác của các nhà cung cấp lớn, có quy mô chỉ khoảng 200-300 người, với ngân sách và trình độ chuyên môn hạn chế hơn để tự bảo vệ trước các cuộc tấn công này,” Lindsey cho biết.

Các hoạt động trên không gian mạng của Iran ngày càng gắn liền với căng thẳng địa chính trị và các mục tiêu chiến lược của chính phủ nước này. Viện Nghiên cứu An ninh Quốc gia thuộc Đại học Tel Aviv đã chỉ ra rằng các chiến dịch trên không gian mạng của Iran thường điều chỉnh theo những diễn biến địa chính trị, đặc biệt gia tăng trong thời kỳ căng thẳng leo thang.

Ví dụ, số lượng các cuộc tấn công mạng tăng vọt sau khi Mỹ áp đặt lệnh trừng phạt lên các quan chức thuộc Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC) vào tháng 2/2025 và các cuộc tấn công quân sự vào các cơ sở hạt nhân của Iran. Check Point Software Technologies cũng ghi nhận sự gia tăng 44% các cuộc tấn công mạng trên toàn cầu trong năm 2024, trong đó các tin tặc Iran đã sử dụng các chiến dịch tung tin giả được hỗ trợ bởi AI trong cuộc bầu cử tổng thống Mỹ.

Báo cáo của Blumira nhấn mạnh rằng mối liên hệ này cho thấy Iran đang tích hợp các hoạt động trên không gian mạng vào kế hoạch chiến lược tổng thể của họ, sử dụng các khả năng kỹ thuật số để thể hiện sức mạnh vượt ra ngoài giới hạn của quân đội thông thường, đồng thời vẫn duy trì khả năng phủ nhận trách nhiệm.

Phòng nghiên cứu an ninh của Blumira đã theo dõi các hoạt động thăm dò mạng của Iran kể từ tháng 6/2024, và họ nhận thấy mối tương quan rõ rệt giữa các đợt gia tăng hoạt động mạng và các sự kiện địa chính trị:

18-19/03/2025: Blumira ghi nhận đây là thời điểm hoạt động mạng của Iran đạt mức cao nhất từ trước đến nay, với hơn 25.000 kết nối trong một ngày. Thời điểm này trùng với chiến dịch tấn công của nhóm hacktivist DieNet, nhắm vào 61 tổ chức của Mỹ.
06/02/2025: Blumira chứng kiến hoạt động mạng tăng gấp 30 lần so với mức bình thường sau khi Mỹ áp đặt lệnh trừng phạt lên các quan chức IRGC của Iran.
30/01/2025: Đợt tăng đột biến đáng kể đầu tiên của năm 2025, trùng với những thay đổi trong chính sách của chính quyền mới.

Mối đe dọa từ không gian mạng của Iran đã phát triển đáng kể trong những năm gần đây, trở thành một thách thức lớn. Các cơ quan chính phủ Mỹ báo cáo rằng có tới 120 nhóm hacktivist đang hoạt động tính đến tháng 6/2025, và các nhóm tin tặc có liên kết với Iran đang tiến hành các chiến dịch liên tục nhắm vào cơ sở hạ tầng quan trọng của Mỹ. Cơ quan An ninh Mạng và Cơ sở hạ tầng (CISA), FBI, Trung tâm Tội phạm Mạng của Bộ Quốc phòng và Cơ quan An ninh Quốc gia gần đây đã đưa ra cảnh báo chung về “sự gia tăng hoạt động từ các nhóm hacktivist và các tổ chức liên kết với chính phủ Iran, dự kiến sẽ leo thang do các sự kiện gần đây.”

Các nhóm tin tặc Iran đã thể hiện khả năng thực hiện các cuộc tấn công phá hoại, hoạt động gián điệp mạng, các chiến dịch gây ảnh hưởng và nhắm mục tiêu vào cơ sở hạ tầng quan trọng. Các hoạt động gần đây bao gồm 29 vụ xâm nhập được xác nhận vào các hệ thống điều khiển công nghiệp của Mỹ từ tháng 11/2023 đến tháng 4/2024, cũng như nhắm mục tiêu vào 75 thiết bị Unitronics PLC trên nhiều lĩnh vực cơ sở hạ tầng quan trọng của Mỹ.

Kỹ thuật và Đánh giá Năng lực Hoạt động

Các hoạt động trên không gian mạng của Iran thể hiện các khả năng kỹ thuật tinh vi, được điều chỉnh để khai thác các lỗ hổng cụ thể trong cơ sở hạ tầng quan trọng của Mỹ. Các kỹ thuật hiện tại bao gồm:

Nhắm mục tiêu Hệ thống Kiểm soát Công nghiệp: Các tác nhân Iran chứng minh khả năng xâm nhập các bộ điều khiển logic khả trình (PLC) và hệ thống thu thập dữ liệu và điều khiển giám sát (SCADA). Các cuộc tấn công của CyberAv3ngers vào các tiện ích nước đã khai thác các PLC Unitronics do Israel sản xuất bằng cách sử dụng mật khẩu mặc định và kết nối internet trực tiếp.

Kỹ thuật Xã hội Tăng cường AI: Các hoạt động gần đây của APT35 đã kết hợp các công cụ trí tuệ nhân tạo để tạo ra các thông điệp lừa đảo và các chiến dịch kỹ thuật xã hội đầy sức thuyết phục. Các kỹ thuật tăng cường AI này thể hiện một sự phát triển đáng kể trong khả năng kỹ thuật xã hội của Iran.

Khai thác Chuỗi Cung ứng: Các nhóm Iran nhắm mục tiêu vào các nhà cung cấp dịch vụ CNTT để truy cập vào khách hàng hạ nguồn, tận dụng các mối quan hệ đáng tin cậy để vượt qua các biện pháp kiểm soát an ninh. Cách tiếp cận này cung cấp quyền truy cập vào nhiều nạn nhân thông qua các điểm xâm phạm duy nhất.

Thu thập Thông tin Xác thực và Bỏ qua MFA: Các hoạt động hiện tại tập trung nhiều vào việc đánh cắp thông tin xác thực và các kỹ thuật bỏ qua xác thực đa yếu tố. Các tác nhân Iran sử dụng các công cụ đoán mật khẩu tự động, phần mềm bẻ khóa băm và mật khẩu của nhà sản xuất mặc định để đạt được quyền truy cập ban đầu.

Các Hoạt động Hacktivist Mới nổi của Iran

Các nhóm hacktivist liên kết với Iran đã chứng minh sự phối hợp hoạt động và sự tinh vi về kỹ thuật ngày càng tăng. DieNet, chẳng hạn, nổi lên vào tháng 3 năm 2025, đã tuyên bố 61 cuộc tấn công chống lại 19 tổ chức của Hoa Kỳ từ ngày 11 đến ngày 17 tháng 3, nhắm mục tiêu vào các lĩnh vực cơ sở hạ tầng quan trọng bao gồm tài chính, năng lượng, giao thông vận tải và viễn thông. Các hoạt động của nhóm tương quan với các sự kiện địa chính trị, thể hiện sự phối hợp chiến lược với các mục tiêu rộng lớn hơn của Iran.

Cyber Fattah đã mở rộng các hoạt động vượt ra ngoài mục tiêu truyền thống tập trung vào Israel sang các thông điệp chống Hoa Kỳ và chống Ả Rập Xê Út rộng lớn hơn. Các hoạt động của nhóm phù hợp với căng thẳng khu vực rộng lớn hơn, cho thấy sự phối hợp trong chiến lược chiến tranh mạng rộng lớn hơn của Iran.

Các đánh giá tình báo đã xác định hơn 600 tuyên bố về các cuộc tấn công mạng trong 100 kênh Telegram từ giữa đến cuối tháng 6 năm 2025. Không có gì đáng ngạc nhiên, Israel nổi lên là quốc gia bị nhắm mục tiêu nhiều nhất (441 tuyên bố tấn công), tiếp theo là Hoa Kỳ với 69 tuyên bố tấn công. Điều này thể hiện sự leo thang trong nhịp độ của các hoạt động hacktivist, phối hợp với các hoạt động quân sự động học.

Các công ty phải tự chuẩn bị bằng cách thực hiện các biện pháp vệ sinh an ninh thiết yếu, bao gồm vá các hệ thống lỗi thời, cấu hình phần cứng, tắt các dịch vụ không cần thiết, thực hiện sao lưu thường xuyên và bảo vệ các bản sao lưu đó, cùng với các biện pháp khác. “Điều quan trọng đối với các tổ chức là phải hiểu rằng ngoài những tiêu đề đáng sợ, có những điều thiết thực mà họ có thể làm. Bước tốt nhất là tập trung vào khả năng phục hồi hoạt động của họ và đánh giá rủi ro của họ, thay vì chỉ tập trung vào các mối đe dọa ngoài kia. Giải quyết những rủi ro đó sớm và nắm bắt các vấn đề trước khi chúng trở thành vấn đề. Điều đó sẽ giúp bảo vệ chống lại ransomware, cũng như bất cứ điều gì khác bạn đang thấy,” Lindsey nói.

Giải thích thuật ngữ:

Brute force: Một phương pháp tấn công mật khẩu bằng cách thử tất cả các tổ hợp có thể cho đến khi tìm ra mật khẩu đúng.
Remote Desktop Protocol (RDP): Một giao thức cho phép người dùng kết nối và điều khiển một máy tính từ xa thông qua mạng.
Secure Shell (SSH): Một giao thức mạng mã hóa cho phép truyền dữ liệu an toàn giữa hai máy tính, thường được sử dụng để truy cập và quản lý máy chủ từ xa.
Web application scan: Quá trình tự động tìm kiếm các lỗ hổng bảo mật trong một ứng dụng web bằng cách gửi các yêu cầu độc hại và phân tích phản hồi.
Địa chỉ IP: Một địa chỉ số duy nhất được gán cho mỗi thiết bị kết nối với mạng máy tính sử dụng giao thức Internet để liên lạc.
Logistics: Quá trình lập kế hoạch, thực hiện và kiểm soát việc di chuyển và lưu trữ hàng hóa, dịch vụ và thông tin từ điểm gốc đến điểm tiêu thụ.
Cơ sở hạ tầng viễn thông: Các mạng và thiết bị cho phép truyền thông tin qua khoảng cách xa, bao gồm điện thoại, internet và truyền hình.
Chuỗi cung ứng: Mạng lưới các tổ chức, con người, hoạt động, thông tin và tài nguyên liên quan đến việc sản xuất và phân phối một sản phẩm hoặc dịch vụ.
Lệnh trừng phạt: Các biện pháp trừng phạt kinh tế hoặc chính trị được áp đặt bởi một quốc gia hoặc tổ chức quốc tế đối với một quốc gia, tổ chức hoặc cá nhân khác để buộc họ tuân thủ một hành vi hoặc chính sách cụ thể.
Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC): Một nhánh của lực lượng vũ trang Iran, được thành lập sau cuộc Cách mạng Hồi giáo năm 1979.
Hacktivist: Một người hoặc nhóm sử dụng các kỹ năng tấn công mạng để thúc đẩy một mục tiêu chính trị hoặc xã hội.
Cơ sở hạ tầng quan trọng: Các hệ thống và tài sản vật chất và ảo quan trọng đối với một quốc gia hoặc nền kinh tế, và việc phá hủy hoặc gián đoạn chúng sẽ gây ra tác động nghiêm trọng đến an ninh quốc gia, sức khỏe cộng đồng hoặc sự an toàn công cộng.
Cyber espionage: Hành động sử dụng các kỹ năng tấn công mạng để đánh cắp thông tin bí mật từ một chính phủ, tổ chức hoặc cá nhân.
Influence operations: Các hoạt động được thiết kế để thay đổi thái độ, hành vi hoặc quyết định của một nhóm mục tiêu.
Industrial Control Systems (ICS): Các hệ thống được sử dụng để điều khiển và tự động hóa các quy trình công nghiệp, chẳng hạn như sản xuất, năng lượng và vận tải.
Programmable Logic Controllers (PLCs): Các máy tính chuyên dụng được sử dụng để điều khiển các thiết bị và quy trình tự động trong các ứng dụng công nghiệp.
Supervisory Control and Data Acquisition (SCADA): Các hệ thống được sử dụng để giám sát và điều khiển các quy trình công nghiệp từ xa.
AI-Enhanced Social Engineering: Sử dụng trí tuệ nhân tạo để tạo ra các cuộc tấn công kỹ thuật xã hội tinh vi hơn, chẳng hạn như tạo ra các email lừa đảo thuyết phục hơn hoặc giả mạo danh tính trực tuyến.
APT35: Một nhóm tin tặc có liên hệ với chính phủ Iran, được biết đến với các hoạt động gián điệp mạng và tấn công mạng.
Multi-Factor Authentication (MFA): Một phương pháp bảo mật yêu cầu người dùng cung cấp nhiều hơn một yếu tố xác thực để xác minh danh tính của họ, chẳng hạn như mật khẩu và mã được gửi đến điện thoại của họ.
Hash-cracking software: Phần mềm được sử dụng để bẻ khóa mật khẩu được lưu trữ dưới dạng hàm băm (hash).
Telegram channels: Các kênh truyền thông trên ứng dụng Telegram, nơi người dùng có thể chia sẻ tin nhắn, hình ảnh và video với một lượng lớn người theo dõi.
Kinetic military operations: Các hoạt động quân sự sử dụng vũ lực vật lý, chẳng hạn như bắn súng, ném bom và tấn công trên bộ.
Operational resilience: Khả năng của một tổ chức để duy trì hoạt động kinh doanh quan trọng trong trường hợp xảy ra sự cố gián đoạn, chẳng hạn như tấn công mạng, thiên tai hoặc khủng bố.
Ransomware: Một loại phần mềm độc hại mã hóa dữ liệu của nạn nhân và yêu cầu họ trả tiền chuộc để lấy lại quyền truy cập.