Có một tâm lý chung mà hầu hết chúng ta đều mắc phải khi lướt web là chỉ cần thấy tên miền của cơ quan nhà nước hay cổng dịch vụ công, ta mặc định hệ thống đó an toàn tuyệt đối. Thế nhưng, báo cáo mới nhất từ các chuyên gia bảo mật tại SentinelOne đã dội một gáo nước lạnh vào niềm tin ấy.
Nghiên cứu cho thấy, điều đáng ngại không chỉ là việc các nhóm APT (tin tặc có tổ chức) đồng loạt nhắm vào lực lượng cảnh sát Pakistan mà là cách chúng biến chính website chính thống của cơ quan này thành công cụ phát tán mã độc một cách tinh vi.
Nghiên cứu cho thấy, điều đáng ngại không chỉ là việc các nhóm APT (tin tặc có tổ chức) đồng loạt nhắm vào lực lượng cảnh sát Pakistan mà là cách chúng biến chính website chính thống của cơ quan này thành công cụ phát tán mã độc một cách tinh vi.
Kịch bản "gậy ông đập lưng ông"
Theo ghi nhận từ năm 2024 đến đầu năm 2026, hàng loạt chiến dịch tấn công mạng quy mô lớn đã nhắm thẳng vào các cơ quan thực thi pháp luật của Pakistan, bao gồm lực lượng cảnh sát tại Islamabad và Balochistan.
Đáng chú ý, tại Cảnh sát Balochistan, tin tặc không chọn cách dựng website giả mạo hay gửi email lừa đảo (phishing) như thông thường. Thay vào đó, chúng trực tiếp xâm nhập vào máy chủ vận hành Hệ thống Quản lý Khiếu nại (CMS) – nơi người dân và cán bộ truy cập hằng ngày.
Quy trình thao túng được thực hiện một cách bài bản:
Đáng chú ý, tại Cảnh sát Balochistan, tin tặc không chọn cách dựng website giả mạo hay gửi email lừa đảo (phishing) như thông thường. Thay vào đó, chúng trực tiếp xâm nhập vào máy chủ vận hành Hệ thống Quản lý Khiếu nại (CMS) – nơi người dân và cán bộ truy cập hằng ngày.
Quy trình thao túng được thực hiện một cách bài bản:
- Chiếm quyền kiểm soát: Tin tặc tấn công lỗ hổng để làm chủ máy chủ hoặc ứng dụng web của cổng thông tin cảnh sát.
- Cấy "hàng giả": Chúng âm thầm tải lên các tệp tin độc hại, ngụy trang dưới danh nghĩa tài liệu nghiệp vụ hoặc các bản cập nhật phần mềm hợp lệ.
- Sập bẫy tự nguyện: Cán bộ chiến sĩ hoặc người dân khi truy cập vào website, do tin tưởng tuyệt đối vào nguồn gốc chính thống, đã vô tư tải các tệp này về máy.
- Kích hoạt mã độc: Ngay khi tệp được mở, mã độc sẽ âm thầm cài đặt và kiểm soát thiết bị của nạn nhân mà không hề phát ra bất kỳ cảnh báo nào.
Mục tiêu tối thượng: Kho dữ liệu tình báo quốc gia
SentinelOne chỉ ra rằng, các chiến dịch này sử dụng kho vũ khí mạng rất đa dạng, từ các dòng mã độc nguy hiểm như PlugX, ShadowPad cho đến Cobalt Strike và Remcos RAT. Dù dùng công cụ nào, cái đích cuối cùng của các nhóm tin tặc vẫn là gián điệp mạng và thu thập tình báo.
Bằng cách kiểm soát máy chủ nội bộ, chúng dễ dàng tiếp cận những nguồn thông tin cực kỳ nhạy cảm:
- Hồ sơ vụ án và tiến độ điều tra
- Thông tin định danh của người dân nộp đơn khiếu nại
- Hạ tầng quản trị và sơ đồ mạng nội bộ
- Toàn bộ dữ liệu phục vụ cho công tác an ninh quốc gia
Thay đổi tư duy về an toàn thông tin
Bài học đắt giá nhất từ báo cáo của SentinelOne không nằm ở danh tính của các nhóm APT hay mức độ phức tạp của các dòng mã độc, mà nằm ở chỗ: Khi một hệ thống uy tín bị tổn thương, nó sẽ trở thành "cây cầu" hoàn hảo nhất để tin tặc lợi dụng lòng tin của người dùng và phát tán mã độc trên diện rộng.
Giờ đây, những yếu tố như tên miền đuôi chính phủ (.gov, .gov.pk) hay biểu tượng ổ khóa HTTPS xanh không còn là tấm khiên bảo vệ tuyệt đối. Để tự bảo vệ mình, cả người dùng lẫn quản trị viên hệ thống đều phải thay đổi tư duy: Luôn kiểm tra kỹ lưỡng các tệp tải về, quét mã độc trước khi mở và tuyệt đối không cài đặt các bản cập nhật chưa qua xác minh.
Trong kỷ nguyên số, tin tặc không cần tốn công dựng lên một chiếc bẫy giả. Đôi khi, chúng chỉ cần chiếm lấy chiếc bẫy thật là đủ để biến niềm tin của bạn thành điểm yếu chí mạng.
Giờ đây, những yếu tố như tên miền đuôi chính phủ (.gov, .gov.pk) hay biểu tượng ổ khóa HTTPS xanh không còn là tấm khiên bảo vệ tuyệt đối. Để tự bảo vệ mình, cả người dùng lẫn quản trị viên hệ thống đều phải thay đổi tư duy: Luôn kiểm tra kỹ lưỡng các tệp tải về, quét mã độc trước khi mở và tuyệt đối không cài đặt các bản cập nhật chưa qua xác minh.
Trong kỷ nguyên số, tin tặc không cần tốn công dựng lên một chiếc bẫy giả. Đôi khi, chúng chỉ cần chiếm lấy chiếc bẫy thật là đủ để biến niềm tin của bạn thành điểm yếu chí mạng.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview