Google đã cảnh báo xu hướng gia tăng mạnh hoạt động từ các nhóm hacker được một số quốc gia hậu thuẫn trong năm nay, bao gồm các cuộc tấn công từ một nhóm hacker tại Iran.
Theo Google, chỉ trong năm 2021, tập đoàn này đã gửi hơn 50.000 cảnh báo đến các chủ tài khoản thông báo rằng họ đã bị các nhóm được chính phủ một số quốc gia hậu thuẫn tấn công bằng mã độc hoặc lừa đảo qua email (phishing). Trong một bài blog, Google nói rằng số cảnh báo tăng khoảng 33% so với cùng kỳ năm ngoái, phần lớn do một “chiến dịch lớn đến bất thường” của nhóm hacker từ Nga có mã hiệu APT28, hay còn có tên Fancy Bear.
Tuy nhiên, bài blog của Google tập trung nhiều hơn vào một nhóm hacker có liên quan đến Vệ binh Cách mạng Hồi giáo Iran có tên APT35, hoặc Charming Kitten. Nhóm này thường xuyên sử dụng phương pháp tấn công lừa đảo qua email nhằm truy cập thông tin nhạy cảm hoặc lan truyền mã độc.
Ajax Bash, một kỹ sư bảo mật từ nhóm phân tích nguy cơ của Google, nói rằng Google đã cản trở hoạt động của nhóm này nhắm vào các nhân viên chiến dịch tranh cử trong kỳ bầu cử tổng thống Mỹ năm 2020. Thêm vào đó, trong nhiều năm liền APT35/Charming Kitten đã chiếm tài khoản, lan truyền mã độc và dùng nhiều phương thức mới để thực hiện hoạt động gián điệp phục vụ lợi ích của chính phủ Iran.
Trong một vụ tấn công đầu năm 2021, APT35 đã tấn công một trang web có liên hệ với một trường đại học tại Vương quốc Anh bằng phương thức quen thuộc: chuyển hướng người dùng đến một trang web chứa mã độc và khuyến khích họ đăng nhập bằng tài khoản email để xem một webinar. Người dùng cũng được yêu cầu đưa mã xác thực 2 yếu tố, và như vậy APT35 đã truy cập được các mã này.
Google không nêu cụ thể trường đại học có liên quan, nhưng vào tháng 7 vừa qua, báo chí đã đưa tin về việc Khoa Nghiên cứu Đông phương học và Nghiên cứu Châu Phi (SOAS), thuộc Đại học London đã bị APT35 tấn công vào đầu năm 2021. Vụ tấn công này bắt đầu từ một email giả mạo học giả làm việc tại SOAS mời mọi người tham gia webinar, dẫn đến việc các nạn nhân đưa địa chỉ email và mật khẩu cho nhóm hacker tấn công. SOAS nói rằng lần tấn công này chưa truy cập được dữ liệu hay thông tin cá nhân nào và khoa đã thực hiện các biện pháp cần thiết nhằm bảo vệ hệ thống thông tin của mình.
Một trang web giả mạo được lập ra với mục đích đánh cắp tài khoản email người truy cập. Nguồn: Google Threat Analysis Group
Đề cập đến vụ tấn công vào Đại học London, Bash cho biết: “APT35 đã dựa vào phương thức này từ năm 2017 và nhắm vào các tài khoản có giá trị cao từ những người làm việc trong chính phủ, giới học giả, nhà báo, tổ chức phi chính phủ, nhân viên chính sách ngoại giao và an ninh quốc gia. Nhóm hacker này sẵn sàng dành nhiều nguồn lực để lừa được mục tiêu vì người dùng sẽ khó nhận biết được cách tấn công này”.
Bài blog của Google cũng đề cập đến một số hình thức tấn công khác của APT35, bao gồm đưa phần mềm gián điệp lên cửa hàng ứng dụng Google Play, giả mạo người tham gia hội thảo để đánh cắp thông tin, và sử dụng bot trên dịch vụ nhắn tin của Telegram. Telegram đã xử lý vấn đề này.
Tùng Phong (Theo The Guardian)
