Tin tặc Iran, mối đe dọa mới về an ninh mạng toàn cầu 

Bình luận Văn Thiện • 10:47, 08/03/20

Trong bối cảnh căng thẳng giữa Mỹ và Iran đang leo thang, Mỹ có nên lo ngại về mối đe dọa trên không gian mạng từ Iran? Các tin tặc Iran đã đăng những lời phỉ báng trên một số trang web của Hoa Kỳ để phản đối việc giết chết Tướng Qassem Soleimani. Trên một trong những trang bị tấn công, một nhóm tin tặc này đã viết “Đây chỉ là một phần nhỏ trong khả năng không gian mạng của Iran”.

Hai năm trước, khả năng chiến tranh mạng của Iran tụt hậu so với cả Nga và Trung Quốc, nhưng nước này đã trở thành một mối đe dọa lớn hơn khi đã tiến hành một số cuộc tấn công mạng gây thiệt hại cao.

Kể từ đó, Iran đã tiếp tục phát triển và triển khai các khả năng tấn công mạng. Nước này thực hiện các cuộc tấn công thông qua một mạng lưới tin tặc trung gian, cho phép chế độ tấn công kẻ thù của họ trong khi phủ nhận sự tham gia trực tiếp.

Tin tặc hỗ trợ vệ binh cách mạng

Khả năng chiến tranh mạng của Iran chủ yếu nằm trong Quân đoàn Vệ binh Cách mạng Hồi giáo, một nhánh của quân đội nước này. Tuy nhiên, thay vì sử dụng lực lượng không gian mạng của mình để chống lại các mục tiêu nước ngoài, Lực lượng Vệ binh Cách mạng Hồi giáo chủ yếu thuê tin tặc bên ngoài để thực hiện các cuộc tấn công mạng.

Theo công ty tình báo không gian mạng Recorded Future , Lực lượng Vệ binh Cách mạng Hồi giáo sử dụng các trung gian tin cậy để quản lý hợp đồng với các nhóm độc lập. Các trung gian này trung thành với chế độ nhưng hoạt động độc lập. Họ chuyển các mục tiêu ưu tiên của quân đội Iran thành các nhiệm vụ riêng biệt, sau đó được đấu thầu cho các nhà thầu độc lập.

Recorded Future ước tính rằng có đến 50 tổ chức tham gia đấu thầu cho các hợp đồng này. Nhiều nhà thầu có thể tham gia chung vào một nhiệm vụ.

Các nhà thầu Iran liên lạc trực tuyến để thuê nhân công và trao đổi thông tin. Ashiyane, diễn đàn bảo mật trực tuyến chính ở Iran, được tạo ra bởi tin tặc vào giữa những năm 2000 để phổ biến các công cụ và hướng dẫn tấn công. Nhóm bảo mật kỹ thuật số Ashiyane được biết đến với việc hack các trang web và chèn vào nội dung thân Iran. Đến tháng 5/2011, Zone-H, một kho lưu trữ các trang web bị xóa, đã ghi nhận 23.532 sự phá hoại của nhóm này. Lãnh đạo của nhóm, Behrouz Kamalian, cho biết nhóm của hắn hợp tác với quân đội Iran, nhưng hoạt động độc lập và tự phát.

Iran đã có một cộng đồng tin tặc hoạt động từ năm 2004, khi một nhóm tự xưng là Iran Hackers Sabotage đã phát động liên tiếp các cuộc tấn công web “với mục đích cho thế giới thấy rằng tin tặc Iran có thể làm gì đó đối với an ninh mạng toàn cầu”. Có khả năng nhiều nhà thầu mạng của Iran đến từ cộng đồng này.

Việc Iran sử dụng các trung gian và nhà thầu khiến cho việc quy kết các cuộc tấn công mạng vào chính quyền của họ trở nên khó khăn hơn. Tuy nhiên, các nhà điều tra đã có thể theo dõi nhiều cuộc tấn công đến từ Iran với sự hỗ trợ của Lực lượng Vệ binh Cách mạng Hồi giáo của đất nước này.

Một cơ sở khí đốt Aramco của Saudi. Một cuộc tấn công mạng năm 2012 bắt nguồn từ Iran đã xóa sạch dữ liệu trên hàng ngàn máy tính để bàn của công ty. (Ảnh: IAN TIMBERLAKE / AFP qua Getty Images)

Các chiến dịch tấn công mạng

Theo báo cáo năm 2018 của Quỹ Bảo vệ Dân chủ, Iran tham gia vào cả các hoạt động gián điệp và phá hoại. Họ sử dụng cả phần mềm độc hại và các công cụ phần mềm tùy chỉnh. Họ sử dụng spearfishing (bắt mồi), hoặc dụ dỗ những cá nhân cụ thể bằng tin nhắn lừa đảo. Nạn nhân nhấp vào các liên kết dẫn đến các trang web giả mạo nơi họ thu thập tên người dùng và mật khẩu; hoặc mở tệp đính kèm đặt trên nền tảng thiết bị của họ. Sau khi nạn nhân vào, họ sử dụng các công cụ hack khác nhau để tải xuống hoặc hủy dữ liệu qua mạng.

Các chiến dịch gián điệp không gian mạng của Iran có quyền truy cập vào các mạng để đánh cắp dữ liệu độc quyền và nhạy cảm trong các lĩnh vực mà chế độ của họ quan tâm. Các công ty bảo mật theo dõi các mối đe dọa này và đặt cho họ các tên như APT (Mối đe dọa Liên tục Nâng cao), APT33, “kitten” và các tên khác như OilRig.

Đáng kể nhất là nhóm tin tặc mà công ty bảo mật FireEye gọi APT33. Nhóm này đã tiến hành nhiều hoạt động gián điệp chống lại các ngành công nghiệp dầu mỏ và hàng không ở Mỹ, Saudi Arabia và các nơi khác. APT33 gần đây đã được báo cáo sử dụng các botnet nhỏ (mạng máy tính bị xâm nhập) để nhắm mục tiêu các trang web cụ thể để thu thập dữ liệu.

Một nhóm khác được gọi là APT35 (còn gọi là Phosphoros) đã cố gắng truy cập vào các tài khoản email của các cá nhân tham gia vào chiến dịch tranh cử tổng thống năm 2020 của Hoa Kỳ. Nếu họ thành công, họ có thể sử dụng thông tin bị đánh cắp để gây ảnh hưởng đến cuộc bầu cử, ví dụ, phát hành thông tin có thể gây tổn hại cho ứng cử viên.

Năm 2018, Bộ Tư pháp Hoa Kỳ đã buộc tội chín người Iran thực hiện một chiến dịch trộm cắp mạng lớn thay mặt cho Lực lượng Vệ binh Cách mạng Hồi giáo. Tất cả đều được gắn với Viện Mabna, một công ty Iran đứng sau các cuộc xâm nhập mạng ít nhất là từ những năm 2013. Các bị cáo bị cáo buộc đã đánh cắp 31 terabyte dữ liệu từ các thực thể Hoa Kỳ và nước ngoài. Các nạn nhân bao gồm hơn 300 trường đại học, gần 50 công ty và một số cơ quan chính phủ.

Phá hủy dữ liệu

Các hoạt động phá hoại của Iran đã sử dụng phần mềm độc hại “wiper” (giẻ lau) để phá hủy dữ liệu trên các ổ đĩa cứng. Họ cũng đã sử dụng các botnet để khởi động các cuộc tấn công từ chối dịch vụ phân tán (distributed denial-of-service attacks), trong đó một luồng lưu lượng vô hiệu hóa một cách hiệu quả các máy chủ. Các hoạt động này thường được ẩn đằng sau các biệt danh giống với các hoạt động được sử dụng bởi những kẻ tấn công độc lập, những kẻ làm việc này vì một lý do nào đó chứ không phải là tiền.

Các nhóm hack gắn liền với chế độ Iran đã xóa các trang web, xóa sạch dữ liệu khỏi PC và đã cố gắng xâm nhập vào các hệ thống kiểm soát công nghiệp.

Trong một cuộc tấn công gây thiệt hại nặng nề, một nhóm tự xưng là Thanh kiếm Công lý (Cutting Sword of Justice) đã tấn công công ty dầu mỏ Aramco của  Saudi Arabia bằng mã wiper vào năm 2012. Các tin tặc đã sử dụng một loại virus có tên Shamoon lan truyền qua mạng của công ty. Vụ tấn công đã phá hủy dữ liệu trên 35.000 máy tính, làm gián đoạn quá trình kinh doanh của công ty này trong nhiều tuần.

Phần mềm Shamoon xuất hiện trở lại vào năm 2016, xóa sạch dữ liệu từ hàng ngàn máy tính trong cơ quan hàng không dân dụng của Saudi Arabia và các tổ chức khác. Sau đó vào năm 2018, một biến thể của Shamoon đã tấn công công ty dịch vụ dầu lửa Saipem của Ý, làm tê liệt hơn 300 máy tính.

Tin tặc Iran đã tiến hành các cuộc tấn công từ chối dịch vụ phân tán lớn. Từ năm 2012 đến 2013, một nhóm tự xưng là Cyber Fighters of Izz ad-Din al-Qassam đã phát động một loạt các cuộc tấn công từ chối dịch vụ phân tán không ngừng đối với các ngân hàng lớn của Hoa Kỳ. Các cuộc tấn công được cho là đã gây ra tổn thất hàng chục triệu USD cho các doanh nghiệp Mỹ.

Năm 2016, Mỹ đã truy tố 7 tin tặc Iran vì đã làm việc thay mặt cho Lực lượng Vệ binh Cách mạng Hồi giáo để tiến hành các cuộc tấn công ngân hàng. Động lực của họ có thể là sự trả đũa cho các lệnh trừng phạt kinh tế đã được áp đặt đối với Iran.

Nguy hại tiềm ẩn trong tương lai

Cho đến nay, các cuộc tấn công mạng của Iran chỉ giới hạn ở các máy tính để bàn và máy chủ chạy phần mềm thương mại tiêu chuẩn. Họ chưa ảnh hưởng đến các hệ thống điều khiển công nghiệp chạy lưới điện và cơ sở hạ tầng vật lý khác. Nếu họ thâm nhập và tiếp quản được các hệ thống kiểm soát này, họ có thể gây ra thiệt hại nghiêm trọng hơn chẳng hạn như vụ mất điện năm 2015 và 2016 ở Ukraine do người Nga gây ra .

Một trong những người Iran bị truy tố trong các vụ tấn công ngân hàng đã xâm nhập được vào hệ thống điều khiển máy tính của đập Bowman Avenue ở vùng nông thôn New York. Theo cáo trạng, không có thiệt hại nào được thực hiện, nhưng việc truy cập sẽ cho phép cổng của đập bị thao túng nếu nó không được ngắt thủ công để bảo trì.

Mặc dù không có báo cáo công khai về khả năng tấn công các hệ thống kiểm soát công nghiệp của các tin tặc Iran, Microsoft gần đây đã báo cáo rằng APT33 dường như đã chuyển trọng tâm sang các hệ thống này. Cụ thể, họ đã cố gắng đoán mật khẩu của các nhà sản xuất, nhà cung cấp và nhà bảo trì của hệ thống. Nếu thành công, các tin tặc có thể có được thông tin và quyền truy cập vào hệ thống kiểm soát công nghiệp.

Ned Moran, một nhà nghiên cứu bảo mật của Microsoft, đã suy đoán rằng nhóm có thể đang cố gắng truy cập vào các hệ thống kiểm soát công nghiệp để gây ra rối loạn về hoạt động vật lý. Mặc dù APT33 không liên quan trực tiếp đến bất kỳ sự cố phá hoại mạng nào, các nhà nghiên cứu bảo mật đã tìm thấy các liên kết giữa mã được sử dụng bởi nhóm với mã được sử dụng trong các cuộc tấn công Shamoon để phá hủy dữ liệu.

Mặc dù không thể biết ý định của Iran, nhưng có khả năng họ sẽ tiếp tục điều hành nhiều chiến dịch gián điệp mạng trong khi phát triển các khả năng bổ sung cho phá hoại mạng. Nếu căng thẳng giữa Iran và Hoa Kỳ tăng lên, Iran có thể đáp trả bằng các cuộc tấn công mạng bổ sung mà có thể gây thiệt hại hơn nhiều so với những vụ tấn công trước đây.

Văn Thiện

Theo The Conversation

Khoa học Công nghệ