Hoạt động nhắm vào Iran
Các hoạt động tấn công mạng do Mỹ và Israel tiến hành được cho là đã gây ra tác động đáng kể. Theo các báo cáo truyền thông, các cuộc tấn công mạng đã gây gián đoạn nghiêm trọng hệ thống của Iran, nhắm vào các cơ quan truyền thông nhà nước như IRNA, mạng lưới liên lạc và chỉ huy của Lực lượng Vệ binh Cách mạng Hồi giáo (IRGC), các dịch vụ kỹ thuật số của chính phủ và cơ sở hạ tầng trọng yếu trong lĩnh vực năng lượng và hàng không.
Ngoài ra, các tin tặc cũng đã xâm nhập vào một ứng dụng cầu nguyện được sử dụng rộng rãi để phát tán các thông điệp báo hiệu sự can thiệp từ bên ngoài.
Tướng Dan Caine, Chủ tịch Hội đồng Tham mưu trưởng Liên quân Hoa Kỳ, cho biết trong một cuộc họp báo tại Lầu Năm Góc rằng, các hoạt động trên không gian mạng đã làm gián đoạn hiệu quả các mạng lưới liên lạc và cảm biến trên toàn khu vực, khiến Iran không thể phát hiện, phối hợp hoặc phản ứng một cách hiệu quả.
Các cuộc tấn công từ Iran được ghi nhận
Một số công ty an ninh mạng đã chia sẻ thông tin về những gì họ quan sát được trong những ngày gần đây trên mặt trận không gian mạng của cuộc xung đột, đặc biệt là các hoạt động liên quan đến tin tặc Iran tiến hành.
Ngày 02/3, CrowdStrike báo cáo họ chưa phát hiện bất kỳ chiến dịch tấn công mạng quy mô lớn nào do các tác nhân được nhà nước tài trợ thực hiện. Tuy nhiên, công ty này ghi nhận sự gia tăng các cuộc tấn công của các nhóm hacktivist ủng hộ Iran, bao gồm deface website hay tấn công từ chối dịch vụ phân tán (DDoS). CrowdStrike đã nêu bật Hydro Kitten, một nhóm tấn công tuyên bố đang nhắm mục tiêu vào lĩnh vực tài chính.
“Ở giai đoạn này, phần lớn các hoạt động được công khai dường như dựa trên những tuyên bố hơn là bằng chứng xác thực. Trong thời kỳ leo thang địa chính trị, việc gia tăng hoạt động hacktivist mang tính cơ hội và các hoạt động gây rối nhằm thu hút sự chú ý là điều thường thấy” Adam Meyers, nhà nghiên cứu tại CrowdStrike giải thích.
Trong một diễn biến khác, Palo Alto Networks cũng ghi nhận sự gia tăng các cuộc tấn công do các tin tặc từ bên ngoài Iran thực hiện, nhưng chỉ ra rằng các cuộc tấn công mạng do nhà nước bảo trợ không có dấu hiệu mới, có thể là do kết nối Internet bị hạn chế do tình trạng mất điện đang diễn ra.
“Đối với các tác nhân đe dọa liên kết với Iran có trụ sở bên ngoài khu vực, chúng tôi đánh giá chúng sẽ nhắm mục tiêu vào các tổ chức bị coi là đối thủ, nhưng tác động của chúng có thể ở mức thấp đến trung bình. Các nhóm khác có thể lợi dụng tình hình và diễn biến trong khu vực để tiến hành các cuộc tấn công mạng nhằm phục vụ lợi ích riêng của mình”, Palo Alto Networks nhận định.
Chia sẻ với trang SecurityWeek, công ty tình báo về mối đe dọa Flashpoint đánh giá các tin tặc đã đưa ra những “tuyên bố đáng báo động” về việc xâm nhập vào hệ thống điều khiển công nghiệp (ICS) và hệ thống logistics cung ứng ngũ cốc quốc gia.
Trong khi đó, Flashpoint đưa tin rằng một liên minh rộng lớn gồm các nhóm ủng hộ Iran đã phát động OpIsrael, một chiến dịch tập trung vào việc đánh cắp dữ liệu và tấn công cơ sở hạ tầng trọng yếu.
Nhóm NoName057(16) tiến hành các cuộc tấn công DDoS quy mô lớn nhằm vào một nhà thầu quốc phòng và chính quyền các thành phố của Israel. Nhóm Cyber Islamic Resistance tuyên bố đã tấn công hệ thống của một nhà cung cấp bảo hiểm y tế Israel, trong khi các tin tặc FAD tiến hành các cuộc tấn công SQL injection để đánh cắp dữ liệu, bao gồm các tổ chức giáo dục ở Pháp, Ấn Độ và cả Việt Nam. Nhóm này cũng bị cáo buộc đã kiểm soát các bảng điều khiển giám sát tường lửa ở Ả Rập Xê Út.
Bên cạnh đó, một nhóm tự xưng là Fatimion Cyber Team đã nhắm mục tiêu vào các quốc gia Ả Rập được coi là đồng minh của Mỹ, làm tê liệt hãng thông tấn Bahrain và phát động các cuộc tấn công DDoS nhằm vào công ty dầu khí Gasco và Đài phát thanh Qatar.
Cisco Talos cho biết họ đang theo dõi các cuộc tấn công mạng của Mỹ, Israel và Iran, báo cáo không phát hiện bất kỳ tác động đáng kể nào. “Hiện tại dường như không có sự gia tăng về hoạt động mạng liên quan đến các nhóm do nhà nước tài trợ hoặc có liên kết với nhà nước,” ông Talos cho biết.
Thông báo cho biết thêm: “Bất kỳ tác động nào đều có khả năng đến từ các nhóm hacktivist, một số trong số chúng đã phát động các chiến dịch deface và tấn công DDoS để ủng hộ Iran. Ngoài ra, tội phạm mạng có thể lợi dụng cuộc xung đột để cố gắng mở rộng phạm vi lây nhiễm thông qua việc sử dụng các chiêu trò dụ dỗ và các phương thức tấn công kỹ nghệ xã hội khác”.
Theo ông Matthew Prince, CEO của Cloudflare cho biết các hoạt động tấn công mạng của Iran đã giảm mạnh.
Ngày 02/3, Sophos thông báo họ ghi nhận sự gia tăng hoạt động của các nhóm hacktivist, nhưng không có sự leo thang về rủi ro, trên Telegram, X và các diễn đàn ngầm sau các cuộc tấn công ngày 28/02, chủ yếu đến từ các cá nhân ủng hộ Iran, bao gồm nhóm Handala Hack và APTIran.
Công ty cũng phát hiện các cuộc tấn công DDoS và deface, đồng thời lưu ý rằng các tuyên bố về việc cơ sở hạ tầng trọng yếu bị xâm phạm do các tin tặc hacktivist đưa ra chưa được xác minh và có thể bị phóng đại.
Mặc dù các công ty an ninh mạng chưa ghi nhận bất kỳ sự leo thang đáng chú ý nào của các tin tặc Iran, Check Point nhận định một số tác nhân đe dọa, chẳng hạn như Cotton Sandstorm (còn gọi là Emennet Pasargad ) và Void Manticore (Handala), tuyên bố đã tấn công các trang web và cơ sở hạ tầng.
Hudson Rock - công ty tình báo phần mềm độc hại, cho biết nhiều vụ rò rỉ dữ liệu mà tin tặc tuyên bố trong những ngày gần đây là giả mạo.
Mặc dù một số báo cáo về các vụ gián đoạn hoặc thiệt hại trên không gian mạng có thể bị phóng đại, nhưng thực tế là các tác nhân liên kết với nhà nước có thể thực hiện các cuộc xâm nhập tinh vi song song với các hoạt động quân sự, cho thấy một mối đe dọa thực sự và ngày càng gia tăng, đòi hỏi sự cảnh giác liên tục và các biện pháp phòng thủ mạnh mẽ.
Trung tâm An ninh mạng Quốc gia Anh (NCSC) cho biết, mặc dù hiện tại có thể không có thay đổi đáng kể nào về mối đe dọa mạng trực tiếp từ Iran đối với Anh, nhưng họ vẫn kêu gọi các tổ chức trong nước đánh giá lại tình hình rủi ro và có biện pháp ứng phó.
