Duy Linh
Writer
Dù xung đột quân sự giữa Iran và Israel đã tạm lắng, giới chuyên gia an ninh mạng vẫn cảnh báo về nguy cơ tấn công mạng ngày càng tăng từ Iran nhắm vào Hoa Kỳ. Các cơ sở hạ tầng thiết yếu như năng lượng, nước và y tế tiếp tục là mục tiêu chính do hệ thống lỗi thời và năng lực phòng thủ còn yếu.
Lực lượng tình báo Mỹ từng cảnh báo Iran có thể trả đũa bằng các cuộc tấn công mạng nhằm vào lưới điện, hệ thống cấp nước và mạng tài chính. Hiện tại, dù các cuộc tấn công vật lý đã dừng lại, giới chuyên gia vẫn theo dõi sát sao động thái kỹ thuật số từ Iran.
Bộ An ninh Nội địa Hoa Kỳ gần đây đã đưa ra cảnh báo, cho biết các nhóm liên quan đến chính phủ Iran đang tìm cách khai thác các thiết bị kết nối và hệ thống chưa được bảo vệ trên khắp nước Mỹ. Theo Charlies Randolph, Phó chủ tịch cấp cao tại 360 Privacy, các hoạt động mạng của Iran là một phần trong chiến lược trả đũa bất đối xứng, giúp họ gây thiệt hại mà không cần đối đầu trực tiếp.
Những chiến dịch này thường do các nhóm APT thực hiện, với mục tiêu là gây rối, tạo hoang mang và làm xói mòn lòng tin. Will Knehr từ i-PRO Americas nhấn mạnh rằng mối đe dọa này là có thật và đang gia tăng, được dẫn dắt bởi các nhóm như APT33, APT34 và APT35. Dù vậy, một số chuyên gia như Mark Freedman lại cho rằng không nên phóng đại mối nguy, vì Iran vẫn tỏ ra dè dặt trong việc leo thang tình hình.
Bệnh viện và hệ thống tiện ích cũng là đích nhắm tiềm năng. Theo Katrina Rosseini, số vụ tấn công vào ngành y tế đã tăng 45% kể từ năm 2020. Iran từng nhắm vào ngành nước trong các cuộc tấn công vào năm 2013 và 2023 — một lĩnh vực đặc biệt yếu về bảo mật nhưng đóng vai trò quan trọng.
Về mặt chiến thuật, Iran thường sử dụng các phương pháp như thu thập thông tin đăng nhập, lừa đảo, phát tán mã độc xóa dữ liệu hoặc các cuộc tấn công ransomware. Randolph cho biết các hệ thống cấp nước, cảng hoặc tiện ích nhỏ có thể là mục tiêu do thiếu phòng vệ.
Tuy nhiên, Bryson Bort từ SCYTHE cảnh báo rằng phần lớn các cuộc tấn công chỉ đóng vai trò hỗ trợ cho các hoạt động tình báo hoặc quân sự. Những dấu hiệu cảnh báo có thể bao gồm việc sử dụng thông tin đăng nhập VPN bị lộ hoặc các cuộc tấn công đồng thời ở nhiều lĩnh vực khác nhau — dấu hiệu của các chiến dịch quy mô lớn hoặc xâm nhập chuỗi cung ứng.
Iran thường bắt đầu bằng các chiến dịch lừa đảo qua email hoặc nhắm vào các thiết bị truy cập từ xa lỗi thời. Việc chia sẻ thông tin lừa đảo sớm có thể giúp ngăn ngừa các cuộc tấn công tiếp theo.
Freedman kêu gọi các tổ chức nên rà soát lại vệ sinh an ninh mạng cơ bản, vá lỗ hổng, thực hiện xác thực đa yếu tố và phân đoạn mạng. Sáng kiến “Shields Up” từ CISA cũng đề xuất giám sát truy cập từ xa và tăng cường các phương án khôi phục sau sự cố.
Tuy nhiên, Bort cho rằng việc chuyển giao trách nhiệm từ liên bang về tiểu bang đang gây khó khăn trong phản ứng tập trung. Các nhà điều hành nhỏ lẻ — như hợp tác xã điện — thường không có đủ nhân lực hay ngân sách để đối phó. Một kỹ sư CNTT phải quản lý toàn bộ hệ thống là điều không hiếm.
Cuối cùng, Randolph cảnh báo rằng các chiến dịch mạng của Iran có thể kết hợp tấn công kỹ thuật với chiến tranh nhận thức. Trong khi đó, Rosseini trích dẫn Tôn Tử để kết luận: “Nếu bạn biết kẻ thù và biết chính mình, bạn không cần sợ kết quả của hàng trăm trận chiến”.
Đọc chi tiết tại đây: https://www.securityinfowatch.com/c...rans-cyber-threat-persists-as-ceasefire-holds
Lực lượng tình báo Mỹ từng cảnh báo Iran có thể trả đũa bằng các cuộc tấn công mạng nhằm vào lưới điện, hệ thống cấp nước và mạng tài chính. Hiện tại, dù các cuộc tấn công vật lý đã dừng lại, giới chuyên gia vẫn theo dõi sát sao động thái kỹ thuật số từ Iran.
Bộ An ninh Nội địa Hoa Kỳ gần đây đã đưa ra cảnh báo, cho biết các nhóm liên quan đến chính phủ Iran đang tìm cách khai thác các thiết bị kết nối và hệ thống chưa được bảo vệ trên khắp nước Mỹ. Theo Charlies Randolph, Phó chủ tịch cấp cao tại 360 Privacy, các hoạt động mạng của Iran là một phần trong chiến lược trả đũa bất đối xứng, giúp họ gây thiệt hại mà không cần đối đầu trực tiếp.
Những chiến dịch này thường do các nhóm APT thực hiện, với mục tiêu là gây rối, tạo hoang mang và làm xói mòn lòng tin. Will Knehr từ i-PRO Americas nhấn mạnh rằng mối đe dọa này là có thật và đang gia tăng, được dẫn dắt bởi các nhóm như APT33, APT34 và APT35. Dù vậy, một số chuyên gia như Mark Freedman lại cho rằng không nên phóng đại mối nguy, vì Iran vẫn tỏ ra dè dặt trong việc leo thang tình hình.
Mục tiêu tấn công và các chiến thuật thường thấy
Các cuộc tấn công của Iran thường nhắm vào các lĩnh vực có thể gây rối loạn hoặc có tính biểu tượng cao như năng lượng, hậu cần và tài chính. Những mục tiêu khác đang được theo dõi sát sao gồm các công ty cấp nước, hệ thống cảng và lưới điện địa phương. Các hệ thống này không chỉ dễ bị phần mềm độc hại tấn công mà còn dễ bị lợi dụng để phát tán thông tin sai lệch gây hoảng loạn.Bệnh viện và hệ thống tiện ích cũng là đích nhắm tiềm năng. Theo Katrina Rosseini, số vụ tấn công vào ngành y tế đã tăng 45% kể từ năm 2020. Iran từng nhắm vào ngành nước trong các cuộc tấn công vào năm 2013 và 2023 — một lĩnh vực đặc biệt yếu về bảo mật nhưng đóng vai trò quan trọng.
Về mặt chiến thuật, Iran thường sử dụng các phương pháp như thu thập thông tin đăng nhập, lừa đảo, phát tán mã độc xóa dữ liệu hoặc các cuộc tấn công ransomware. Randolph cho biết các hệ thống cấp nước, cảng hoặc tiện ích nhỏ có thể là mục tiêu do thiếu phòng vệ.
Tuy nhiên, Bryson Bort từ SCYTHE cảnh báo rằng phần lớn các cuộc tấn công chỉ đóng vai trò hỗ trợ cho các hoạt động tình báo hoặc quân sự. Những dấu hiệu cảnh báo có thể bao gồm việc sử dụng thông tin đăng nhập VPN bị lộ hoặc các cuộc tấn công đồng thời ở nhiều lĩnh vực khác nhau — dấu hiệu của các chiến dịch quy mô lớn hoặc xâm nhập chuỗi cung ứng.
Iran thường bắt đầu bằng các chiến dịch lừa đảo qua email hoặc nhắm vào các thiết bị truy cập từ xa lỗi thời. Việc chia sẻ thông tin lừa đảo sớm có thể giúp ngăn ngừa các cuộc tấn công tiếp theo.
Bài học về sự chuẩn bị và ứng phó
Dù đã được cảnh báo trong nhiều năm, nhiều tổ chức tại Hoa Kỳ vẫn chưa có biện pháp phòng thủ phù hợp. Randolph cho rằng việc thiếu phân tách giữa hệ thống CNTT và OT là một điểm yếu nghiêm trọng. Trong khi đó, Rosseini nhấn mạnh rằng nhiều hệ thống vẫn hoạt động trên nền tảng cũ kỹ và thiếu ngân sách đầu tư.Freedman kêu gọi các tổ chức nên rà soát lại vệ sinh an ninh mạng cơ bản, vá lỗ hổng, thực hiện xác thực đa yếu tố và phân đoạn mạng. Sáng kiến “Shields Up” từ CISA cũng đề xuất giám sát truy cập từ xa và tăng cường các phương án khôi phục sau sự cố.
Tuy nhiên, Bort cho rằng việc chuyển giao trách nhiệm từ liên bang về tiểu bang đang gây khó khăn trong phản ứng tập trung. Các nhà điều hành nhỏ lẻ — như hợp tác xã điện — thường không có đủ nhân lực hay ngân sách để đối phó. Một kỹ sư CNTT phải quản lý toàn bộ hệ thống là điều không hiếm.
Cuối cùng, Randolph cảnh báo rằng các chiến dịch mạng của Iran có thể kết hợp tấn công kỹ thuật với chiến tranh nhận thức. Trong khi đó, Rosseini trích dẫn Tôn Tử để kết luận: “Nếu bạn biết kẻ thù và biết chính mình, bạn không cần sợ kết quả của hàng trăm trận chiến”.
Đọc chi tiết tại đây: https://www.securityinfowatch.com/c...rans-cyber-threat-persists-as-ceasefire-holds
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
