Một cuộc điều tra an ninh mạng gần đây đã tiết lộ những mối liên hệ đáng lo ngại giữa nhóm tin tặc APT39, được cho là có sự hậu thuẫn của chính quyền Iran, và công ty an ninh mạng Amnban. Vụ việc này không chỉ dẫn đến việc rò rỉ hàng gigabyte dữ liệu nhạy cảm mà còn phanh phui hoạt động gián điệp mạng có tổ chức, đe dọa đến an toàn hàng không và bảo mật cá nhân trên toàn cầu.

Công ty Amnban được thành lập vào năm 2018 với sự hậu thuẫn của các cựu sinh viên Đại học Sharif và Đại học Amir Kabir, ban đầu quảng bá là đơn vị chuyên về thử nghiệm xâm nhập và tư vấn bảo mật hợp pháp. Tuy nhiên, dữ liệu bị rò rỉ gần đây đã cho thấy một bức tranh hoàn toàn khác: công ty này bị cáo buộc là vỏ bọc cho nhóm APT39 (còn gọi là Chafer), chuyên thu thập thông tin tình báo mạng cho Bộ Tình báo Iran (MOIS).

Các tài liệu bị đánh cắp cho thấy Amnban không chỉ bị xâm nhập mà còn trực tiếp vận hành các chiến dịch thu thập dữ liệu nhạy cảm như hộ chiếu, địa chỉ, ảnh chân dung và thông tin liên hệ của hàng triệu hành khách hàng không trên toàn thế giới. Những dữ liệu này có thể bị sử dụng để theo dõi, đánh cắp danh tính, thậm chí phục vụ mục đích vi phạm nhân quyền.

Một số nhân vật chủ chốt của công ty Amnban đã bị nêu tên, bao gồm CEO Behnam Amiri, người từng bị tình báo quốc tế cảnh báo, và Ali Kamali, hacker từng bị FBI trừng phạt vì các cuộc tấn công vào cơ sở hạ tầng của Mỹ. Ngoài ra, đặc vụ Hamed Mashayekhi của MOIS cũng được cho là thường xuyên lui tới trụ sở Amnban.

Từ các hãng hàng không đến sàn tiền số: Mục tiêu toàn cầu

Dưới danh nghĩa đào tạo OSINT (tình báo nguồn mở), Amnban đã tiến hành do thám hàng loạt hãng hàng không như Emirates, Qatar Airways, Turkish Airlines, Etihad, Kenya Airways… cùng các công ty vận chuyển lớn như FedEx, DHL, USPS, và cả các thực thể của Nga. Dữ liệu cho thấy các chiến dịch có quy mô lớn, có tổ chức và nhắm đến cả đồng minh lẫn đối thủ của Iran.

Không dừng lại ở đó, nhóm còn nhắm đến sàn giao dịch tiền số như KuCoin, Binance, CoinSwitch… bằng cách sử dụng kỹ thuật xã hội tinh vi như tạo hồ sơ giả trên LinkedIn để lừa đảo nhân viên, dụ họ cài mã độc, hoặc thu thập thông tin hệ thống qua các liên kết theo dõi.

Hạ tầng hỗ trợ chiến dịch này bao gồm hàng trăm máy chủ ảo và hệ thống gửi email giả mạo được phân bố toàn cầu, cho phép vận hành liên tục các hoạt động lừa đảo, đánh cắp dữ liệu, kiểm soát từ xa, đe dọa nghiêm trọng đến an ninh hàng không và mạng lưới tài chính quốc tế.

Sự cố này là lời cảnh báo mạnh mẽ về rủi ro đến từ các hoạt động gián điệp mạng do nhà nước tài trợ. Các tổ chức hàng không, công nghệ và tài chính cần khẩn cấp đánh giá lại hệ thống bảo mật, trong khi cộng đồng quốc tế cần phối hợp hành động để đối phó với những mối đe dọa có tổ chức như APT39.

Cẩn Thận với Tấn công Mạng: Nguy cơ từ Tập tin Lạ và Nâng cao Ý thức Bảo mật

Ngày 12/6, một sự việc đáng tiếc đã xảy ra với chị N.N, chủ thương hiệu túi xách, khi nhận được một tập tin nén định dạng .RAR từ một người lạ qua Zalo. Người gửi tự nhận là khách hàng có nhu cầu mua sỉ và đề nghị mở tập tin để xem nội dung. Không biết rằng, hành động mở tập tin này đã trở thành khởi đầu cho một chuỗi ngày kiệt quệ cả về tài chính lẫn tinh thần.

Khi mở tập tin, hệ thống báo lỗi và không hiển thị gì cả, chị N.N đã tắt đi và định để hôm sau kiểm tra lại. Tuy nhiên, cú nhấp chuột đó lại chính là cánh cửa cho phép tin tặc cài đặt mã độc vào máy tính. Kẻ gian đã âm thầm chiếm quyền kiểm soát toàn bộ thiết bị của chị mà không để lại bất kỳ dấu hiệu bất thường nào.

Trong 7 ngày tiếp theo, chị N.N vẫn làm việc bình thường, nhưng các thao tác đăng nhập, bao gồm cả cookie, ID và thông tin bảo mật, đều bị theo dõi và ghi lại. Việc để máy tính hoạt động liên tục, không tắt sau giờ làm, cũng vô tình tạo điều kiện cho tin tặc có thời gian truy cập và thao tác không ngừng.

Đến ngày 19/6, tin tặc bắt đầu hành động, chiếm quyền Facebook cá nhân và vô hiệu hóa không thể khôi phục, mất quyền quản lý Business Manager trên Meta, thất thoát tài sản kinh doanh gồm fanpage chính cùng các tài khoản quảng cáo liên kết cùng tài khoản Instagram. Về tài chính, do kết nối thẻ tín dụng với tài khoản quảng cáo, tin tặc đã gắn chiến dịch quảng cáo ảo và trừ tiền trực tiếp từ thẻ. Nền tảng Meta không yêu cầu OTP cho mỗi giao dịch, tạo kẽ hở cho hành vi này.

Chị N.N hoàn toàn không biết mình đã bị tấn công máy tính cho đến khi hàng loạt thiệt hại xảy ra dồn dập vào ngày 19/6. Cảm giác hoang mang bao trùm khi nạn nhân tin rằng bản thân đã thiết lập bảo mật hai lớp đầy đủ và sử dụng mật khẩu phức tạp.

Mãi đến tối ngày 21/6, sau khi nhớ lại tình huống kỳ lạ hôm 12/6 và nhờ một người bạn kiểm tra tập tin ‘báo giá’, sự thật mới được phơi bày: đó chính là một tập tin chứa mã độc, đã giúp tin tặc cài đặt phần mềm điều khiển từ xa và theo dõi mọi hoạt động trong suốt bảy ngày trước khi ra tay.

Chị N.N chia sẻ rằng điều khiến cô kiệt quệ nhất không chỉ là tài chính mà là tổn thất tinh thần trong suốt hơn một tháng cố gắng vực dậy sau biến cố. Toàn bộ hệ thống kinh doanh, từ fanpage, tài khoản quảng cáo đến kênh Instagram đều bị sập đột ngột, buộc cô phải bắt đầu lại gần như từ con số 0.

Quá trình liên hệ với Meta để khôi phục tài khoản cũng là một hành trình đầy thử thách. Chị N.N chia sẻ hầu hết các biểu mẫu hỗ trợ của Meta đều được xử lý tự động bằng AI, khiến tỷ lệ được con người thật sự phản hồi là rất thấp.

Dưới góc độ kỹ thuật, ông Ngô Tuấn Anh – Tổng giám đốc Công ty An ninh mạng SCS cho biết hình thức lừa gửi các tập tin nén để chiếm đoạt tài khoản khá phổ biến. Kẻ lừa đảo đã lợi dụng lỗ hổng trên phần mềm giải nén WinRAR của nạn nhân, vốn chưa được cập nhật bản vá.

Khi nghi ngờ trở thành nạn nhân của tin tặc, chuyên gia khuyến nghị hành động nhanh chóng để giảm thiểu thiệt hại tối đa. Điều đầu tiên cần làm là ngắt kết nối mạng của máy tính vừa thao tác. Đồng thời, người dùng cần đổi ngay tất cả mật khẩu tài khoản mạng xã hội, email, dịch vụ ngân hàng trực tuyến và thiết lập bảo mật hai yếu tố (2FA).

Chị N.N cũng đưa ra lời khuyên cho mọi người nên cảnh giác với tập tin lạ, tách bạch tài khoản cá nhân và kinh doanh, không đăng nhập tài khoản quan trọng trên máy tính công cộng, mạng hay thiết bị lạ, sao lưu định kỳ tài liệu và luôn có tài khoản dự phòng để có thể làm quản trị viên thay thế trong trường hợp khẩn cấp.

Một loạt vụ tấn công mạng gần đây đã nhắm vào phần mềm quản lý tài liệu SharePoint của Microsoft, trong đó Cơ quan An ninh hạt nhân quốc gia Mỹ (NSA) là một trong những mục tiêu chính. Theo thông tin được công bố, hệ thống của NSA đã bị xâm nhập, tuy nhiên không có dữ liệu mật hay thông tin nhạy cảm nào bị đánh cắp.

Các cuộc tấn công này nằm trong chiến dịch có tên ‘ToolShell’, cho phép tin tặc chiếm quyền kiểm soát hoàn toàn hệ thống và cài đặt cửa hậu (backdoor) để truy cập lâu dài. Chiến dịch này không chỉ nhắm vào Mỹ mà còn mở rộng ra nhiều quốc gia châu Âu khác, bao gồm Đức. Các tổ chức thuộc nhiều lĩnh vực như chính phủ, công nghiệp quốc phòng, ngân hàng và y tế đang trở thành mục tiêu chính của các cuộc tấn công mạng này, đặc biệt là những tổ chức sử dụng SharePoint.

Sự phát triển của trí tuệ nhân tạo (AI) đã giúp tin tặc tạo ra các cuộc tấn công mạng tinh vi hơn. Một trong những phương thức tấn công phổ biến hiện nay là sử dụng email lừa đảo với nội dung tự nhiên giống như thật. Những email này thường chứa các đường link hoặc tệp tin đính kèm độc hại, có thể kích hoạt mã độc khi người dùng mở hoặc tải xuống.

Trước tình hình các cuộc tấn công mạng ngày càng tinh vi, các chuyên gia bảo mật khuyến cáo người dùng cần nâng cao cảnh giác và áp dụng các biện pháp bảo mật cần thiết để phòng tránh. Một số biện pháp có thể kể đến là thường xuyên cập nhật phần mềm và hệ điều hành, sử dụng mật khẩu mạnh và duy trì thói quen sao lưu dữ liệu thường xuyên. Bên cạnh đó, việc nhận biết và đề phòng các email lừa đảo cũng đóng vai trò quan trọng trong việc bảo vệ an toàn thông tin.

Trong bối cảnh công nghệ số phát triển không ngừng, việc bảo vệ hệ thống và dữ liệu khỏi các mối đe dọa mạng đang trở thành một thách thức lớn đối với các tổ chức và cá nhân. Do đó, việc không ngừng nâng cao kỹ năng và cập nhật kiến thức về an ninh mạng là điều cần thiết để đối phó với những mối nguy hiểm tiềm ẩn trên không gian mạng.

Để biết thêm thông tin về cách bảo vệ mình trước các cuộc tấn công mạng, bạn có thể truy cập trang web bảo mật của Microsoft để có được những thông tin và hướng dẫn cụ thể hơn.