Các nhà nghiên cứu an ninh mạng tại Nozomi Networks Labs đã báo cáo sự gia tăng đáng báo động lên đến 133% trong các cuộc tấn công mạng liên quan đến các nhóm APT (Advanced Persistent Threat) của Iran vào tháng 5 và tháng 6 năm 2024. Sự gia tăng này diễn ra trong bối cảnh căng thẳng địa chính trị và phù hợp với các cảnh báo từ chính quyền Hoa Kỳ, bao gồm Tờ thông tin ngày 30 tháng 6 của CISA (Cybersecurity and Infrastructure Security Agency) và Bản tin Hệ thống Cảnh báo Khủng bố Quốc gia tiếp theo từ Bộ An ninh Nội địa (Department of Homeland Security), nhấn mạnh các tổ chức của Hoa Kỳ là mục tiêu chính.

Phân tích của Nozomi, dựa trên dữ liệu đo lường từ xa ẩn danh được chia sẻ bởi khách hàng, đã ghi nhận 28 sự cố liên quan đến các tác nhân này trong giai đoạn hai tháng, so với chỉ 12 sự cố trong tháng 3 và tháng 4. Điều này cho thấy một sự leo thang có chủ ý trong các hoạt động tấn công mạng.

Mục Tiêu và Phương Thức Tấn Công

Trọng tâm chính của các cuộc tấn công dường như là các lĩnh vực công nghiệp và cơ sở hạ tầng trọng yếu, đặc biệt là các tổ chức vận tải và sản xuất tại Hoa Kỳ. Tại đây, những kẻ tấn công đã sử dụng các chiến thuật tinh vi để xâm nhập mạng và trích xuất dữ liệu nhạy cảm. Sự lựa chọn mục tiêu này phản ánh ý định gây gián đoạn hoặc thu thập thông tin tình báo chiến lược từ các ngành công nghiệp cốt lõi.

Các Nhóm APT Iran Nổi Bật và Hoạt Động của Chúng

Một số nhóm APT Iran đã hoạt động đặc biệt tích cực trong giai đoạn này. Hoạt động của chúng cho thấy sự điều chỉnh chiến lược nhằm vào các mục tiêu phương Tây trong bối cảnh xung đột địa chính trị.

MuddyWater (SeedWorm)

• Là kẻ chủ mưu hàng đầu, đã xâm phạm ít nhất 5 công ty có trụ sở tại Hoa Kỳ trong lĩnh vực vận tải và sản xuất thông qua các chiến dịch gián điệp dai dẳng.
• Nhóm này, hoạt động từ năm 2017 và được Iran hậu thuẫn, theo truyền thống nhắm mục tiêu vào các chính phủ, viễn thông và năng lượng ở Trung Đông. Tuy nhiên, nhóm đã chuyển hướng sang các tài sản phương Tây trong bối cảnh xung đột địa chính trị gia tăng.

APT33 (Elfin)

• Theo sát MuddyWater, APT33 (Elfin) đã tấn công ít nhất 3 công ty Mỹ.
• Kể từ khi thành lập vào năm 2013, nhóm này đã tận dụng các công cụ gián điệp mạng để đánh cắp thông tin độc quyền từ các lĩnh vực hàng không vũ trụ, năng lượng và hóa dầu. Điều này nhấn mạnh khả năng của nhóm trong việc nhắm mục tiêu vào các ngành công nghiệp có giá trị cao, đòi hỏi thông tin tình báo chuyên sâu.

OilRig (APT34 hoặc Helix Kitten)

• Hoạt động từ năm 2014, OilRig (APT34 hoặc Helix Kitten) đã được quan sát trong các cuộc tấn công vào hai thực thể của Hoa Kỳ.
• Nhóm này nổi tiếng với việc sử dụng kỹ thuật lừa đảo qua email (spear-phishing) và phần mềm độc hại tùy chỉnh để thu thập thông tin tình báo trong các lĩnh vực tài chính, năng lượng và viễn thông trên khắp Trung Đông và xa hơn nữa. Khả năng phát triển phần mềm độc hại tùy chỉnh cho phép nhóm này tránh được sự phát hiện của các hệ thống an ninh truyền thống.

CyberAv3ngers

• CyberAv3ngers đã tái sử dụng cơ sở hạ tầng từ các hoạt động trước đây, liên quan đến phần mềm độc hại OrpaCrab (IOCONTROL) tập trung vào OT (Operational Technology), lần đầu tiên được xác định vào tháng 12 năm 2024.
• Mục tiêu của nhóm là cơ sở hạ tầng trọng yếu với các gián đoạn mang tính động cơ chính trị. Các nhà nghiên cứu đã lưu ý việc CyberAv3ngers tái chế một địa chỉ IP từ các cuộc xâm nhập trước đó, điều này nêu bật các lỗ hổng dai dẳng trong môi trường OT, IoT (Internet of Things) và IT (Information Technology). Việc tái sử dụng cơ sở hạ tầng cho thấy một mức độ tinh vi và khả năng lẩn tránh, đồng thời giảm thiểu chi phí phát triển các công cụ tấn công mới.

Fox Kitten (Pioneer Kitten)

• Fox Kitten (Pioneer Kitten), một nhóm APT được nhà nước tài trợ từ năm 2017, tập trung vào việc duy trì sự hiện diện mạng lâu dài để thực hiện các hành vi phá hoại tiềm năng. Sự kiên trì của nhóm này đặt ra mối đe dọa đáng kể đối với tính toàn vẹn và khả dụng của các hệ thống bị nhắm mục tiêu.

Homeland Justice

• Homeland Justice trở nên nổi tiếng với các cuộc tấn công vào các hệ thống của Albania vào năm 2022 và tiếp tục gây ra rủi ro cho các thực thể toàn cầu. Hoạt động của nhóm này cho thấy phạm vi hoạt động rộng lớn và khả năng gây ra tác động quốc tế.

Chỉ Số Lây Nhiễm (IOCs) và Tình Báo Đe Dọa

Nền tảng Tình báo Đe dọa của Nozomi Networks theo dõi hoạt động của các nhóm này trên nhiều quốc gia, tiết lộ một mô hình nhắm mục tiêu vào các lĩnh vực có tầm quan trọng chiến lược để thúc đẩy lợi ích của Iran. Các chỉ số lây nhiễm liên quan đến các chiến dịch này bao gồm:

• Tên nhóm APT:
  • MuddyWater (còn gọi là SeedWorm)
  • APT33 (còn gọi là Elfin)
  • OilRig (còn gọi là APT34 hoặc Helix Kitten)
  • CyberAv3ngers
  • Fox Kitten (còn gọi là Pioneer Kitten)
  • Homeland Justice
• Phần mềm độc hại liên quan:
  • OrpaCrab (còn gọi là IOCONTROL)
  • Phần mềm độc hại tùy chỉnh được sử dụng bởi OilRig
• Cơ sở hạ tầng bị tái sử dụng: Địa chỉ IP từ các cuộc xâm nhập trước đó được CyberAv3ngers tận dụng.

Khuyến Nghị và Tăng Cường Phòng Thủ

Các tổ chức công nghiệp trên toàn thế giới được khuyến nghị tăng cường cảnh giác, đánh giá lại các tư thế an ninh và tích hợp các nguồn cấp dữ liệu tình báo đe dọa để phát hiện các chỉ số lây nhiễm (IoCs) từ các nhóm này. Việc áp dụng các biện pháp chủ động là tối quan trọng để bảo vệ chống lại các mối đe dọa đang phát triển này.

Khách hàng của Nozomi Networks được hưởng lợi từ các chữ ký có sẵn trong các gói đăng ký Tình báo Đe dọa của họ, bao gồm Mandiant TI Expansion Pack, cung cấp các bản cập nhật theo thời gian thực và tích hợp liền mạch với các công cụ an ninh mạng hiện có. Bằng cách giám sát các tác nhân quốc gia hàng ngày và chuyển đổi dữ liệu đo lường từ xa thành logic phát hiện có thể thực thi, Nozomi tăng cường khả năng phòng thủ tập thể chống lại các mối đe dọa đang phát triển này.

Khi các cuộc xung đột toàn cầu ngày càng lan rộng vào không gian mạng, việc chia sẻ thông tin tình báo chủ động vẫn là yếu tố then chốt để bảo vệ cơ sở hạ tầng trọng yếu khỏi các hoạt động APT gây gián đoạn.