Duy Linh
Writer
Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC) đang đẩy mạnh các hoạt động mạng bất đối xứng nhằm đáp trả các cuộc tấn công gần đây của Mỹ vào cơ sở hạt nhân Iran. Nổi bật trong các chiến dịch này là Nhóm Tình báo 13, một đơn vị thuộc nhóm an ninh mạng Shahid Kaveh, được biết đến với các hoạt động gián điệp mạng chiến thuật, phá hoại công nghiệp và chiến tranh tâm lý. Họ sử dụng kỹ thuật APT để cài phần mềm độc hại, tấn công các dịch vụ thiết yếu.
Được đặt theo tên chỉ huy IRGC đã hy sinh – Mohammad Kaveh – nhóm này kết hợp tinh thần cách mạng với chiến thuật xâm nhập kỹ thuật số, xem đây là phần mở rộng của cuộc chiến tư tưởng. Dưới sự giám sát chặt chẽ của Tổ chức Phòng thủ mạng và Chiến tranh điện tử (EWCD), Tổ chức Tình báo (IO), cùng với các đơn vị đặc biệt như Đơn vị 300 của Lực lượng Quds, cơ cấu chỉ huy của Nhóm 13 cho phép họ triển khai các chiến dịch mạng có tính bí mật cao.
Lãnh đạo chiến lược của nhóm là Hamidreza Lashgarian – quan chức an ninh mạng cấp cao của IRGC, trong khi Reza Salarvand đảm nhiệm chỉ đạo chiến thuật, bao gồm lựa chọn mục tiêu và xâm nhập. Mohammad Bagher Shirinkar đóng vai trò kết nối giữa hoạt động quân sự và các nhà thầu tư nhân, tạo điều kiện cho việc phát triển công cụ và triển khai các hoạt động có thể phủ nhận thông qua các công ty bình phong.
Theo báo cáo, mô hình tổ chức phân mảnh này giúp nhóm duy trì hoạt động dưới vỏ bọc hợp pháp, tương tự các mô hình tại Trung Quốc và Nga, nơi các công ty tư nhân được sử dụng để che giấu vai trò của nhà nước. Nhóm này đặc biệt thành thạo trong việc xâm nhập hệ thống điều khiển công nghiệp (ICS), như các bộ điều khiển logic lập trình (PLC) của Unitronics – từng được sử dụng để tấn công cơ sở nước của Mỹ và hệ thống điện của Israel.
Họ thường sử dụng kỹ thuật lừa đảo để đánh cắp thông tin đăng nhập, khai thác thông tin nguồn mở (OSINT), và phát triển phần mềm độc hại tùy chỉnh để trinh sát và phá hoại. Trong vụ xâm nhập hệ thống nước Aliquippa tại Pennsylvania, nhóm này đã cài đặt thiết bị có khả năng gây gián đoạn hoạt động kiểm soát và giám sát áp suất.
Phía sau nhóm này là mạng lưới công ty bình phong như Ayandeh Sazan Sepehr Aria (kế thừa từ Emen Net Pasargad – từng bị trừng phạt), Mahak Rayan Afraz (phát triển công cụ giám sát AI, xử lý ngôn ngữ tiếng Ba Tư và nhận diện khuôn mặt), cùng các đơn vị như DSPRI (thu thập tín hiệu) và Sabrin Kish (đánh hơi ICS), hỗ trợ triển khai ra nước ngoài tại Syria và Iraq.
Mô hình công – tư kết hợp này cho phép IRGC luân phiên tên công ty – từ Net Peygard sang Emen Net rồi đến Ayandeh Sazan – nhưng vẫn giữ nguyên đội ngũ và năng lực kỹ thuật, giúp họ duy trì khả năng tấn công dài hạn bất chấp các lệnh trừng phạt.
Trong bối cảnh căng thẳng leo thang, Nhóm Tình báo 13 đã trở thành mục tiêu chính cho các hành động trả đũa phối hợp. Các chiến dịch tiếp theo có thể nhắm vào hệ thống nước, mạng lưới nhiên liệu và cơ sở hạ tầng tại khu vực Vịnh Mexico. Những cuộc tấn công này không chỉ ảnh hưởng đến hạ tầng vật lý mà còn làm suy yếu tinh thần và niềm tin thông qua chiến dịch thông tin sai lệch.
Để đối phó, các biện pháp phòng thủ mạng không chỉ cần củng cố kỹ thuật trước APT mà còn phải kiểm soát các kênh thông tin nhằm hạn chế ảnh hưởng đến nhận thức cộng đồng. Với nền tảng tư tưởng kháng chiến và tử vì đạo, nhóm này tiếp tục là ví dụ điển hình về chiến tranh mạng do nhà nước tài trợ, đòi hỏi giám sát chặt chẽ các thực thể đổi tên và các kênh tuyên truyền để ngăn chặn nguy cơ từ sớm.
Đọc chi tiết tại đây: https://gbhackers.com/iranian-threat-actors-target-u-s-critical-infrastructure/
Được đặt theo tên chỉ huy IRGC đã hy sinh – Mohammad Kaveh – nhóm này kết hợp tinh thần cách mạng với chiến thuật xâm nhập kỹ thuật số, xem đây là phần mở rộng của cuộc chiến tư tưởng. Dưới sự giám sát chặt chẽ của Tổ chức Phòng thủ mạng và Chiến tranh điện tử (EWCD), Tổ chức Tình báo (IO), cùng với các đơn vị đặc biệt như Đơn vị 300 của Lực lượng Quds, cơ cấu chỉ huy của Nhóm 13 cho phép họ triển khai các chiến dịch mạng có tính bí mật cao.
Lãnh đạo chiến lược của nhóm là Hamidreza Lashgarian – quan chức an ninh mạng cấp cao của IRGC, trong khi Reza Salarvand đảm nhiệm chỉ đạo chiến thuật, bao gồm lựa chọn mục tiêu và xâm nhập. Mohammad Bagher Shirinkar đóng vai trò kết nối giữa hoạt động quân sự và các nhà thầu tư nhân, tạo điều kiện cho việc phát triển công cụ và triển khai các hoạt động có thể phủ nhận thông qua các công ty bình phong.
Theo báo cáo, mô hình tổ chức phân mảnh này giúp nhóm duy trì hoạt động dưới vỏ bọc hợp pháp, tương tự các mô hình tại Trung Quốc và Nga, nơi các công ty tư nhân được sử dụng để che giấu vai trò của nhà nước. Nhóm này đặc biệt thành thạo trong việc xâm nhập hệ thống điều khiển công nghiệp (ICS), như các bộ điều khiển logic lập trình (PLC) của Unitronics – từng được sử dụng để tấn công cơ sở nước của Mỹ và hệ thống điện của Israel.
Họ thường sử dụng kỹ thuật lừa đảo để đánh cắp thông tin đăng nhập, khai thác thông tin nguồn mở (OSINT), và phát triển phần mềm độc hại tùy chỉnh để trinh sát và phá hoại. Trong vụ xâm nhập hệ thống nước Aliquippa tại Pennsylvania, nhóm này đã cài đặt thiết bị có khả năng gây gián đoạn hoạt động kiểm soát và giám sát áp suất.
Chiến tranh mạng, tuyên truyền và hệ sinh thái nhà thầu của IRGC
Hoạt động kỹ thuật của nhóm còn được hỗ trợ bởi chiến tranh tâm lý qua các mặt trận truyền thông như CyberAveng3rs, nơi họ tung ảnh phá hoại, dữ liệu rò rỉ và thông điệp tôn giáo – dân tộc chủ nghĩa qua Telegram, Instagram. Họ dùng các biệt danh như @CyberAveng3rs hoặc Mr. Soul (Mr_Soulcy), tung ra các đe dọa phòng ngừa như “Chiến dịch IV” nhắm vào Israel để gây hoang mang và mất lòng tin trong công chúng.Phía sau nhóm này là mạng lưới công ty bình phong như Ayandeh Sazan Sepehr Aria (kế thừa từ Emen Net Pasargad – từng bị trừng phạt), Mahak Rayan Afraz (phát triển công cụ giám sát AI, xử lý ngôn ngữ tiếng Ba Tư và nhận diện khuôn mặt), cùng các đơn vị như DSPRI (thu thập tín hiệu) và Sabrin Kish (đánh hơi ICS), hỗ trợ triển khai ra nước ngoài tại Syria và Iraq.
Mô hình công – tư kết hợp này cho phép IRGC luân phiên tên công ty – từ Net Peygard sang Emen Net rồi đến Ayandeh Sazan – nhưng vẫn giữ nguyên đội ngũ và năng lực kỹ thuật, giúp họ duy trì khả năng tấn công dài hạn bất chấp các lệnh trừng phạt.
Trong bối cảnh căng thẳng leo thang, Nhóm Tình báo 13 đã trở thành mục tiêu chính cho các hành động trả đũa phối hợp. Các chiến dịch tiếp theo có thể nhắm vào hệ thống nước, mạng lưới nhiên liệu và cơ sở hạ tầng tại khu vực Vịnh Mexico. Những cuộc tấn công này không chỉ ảnh hưởng đến hạ tầng vật lý mà còn làm suy yếu tinh thần và niềm tin thông qua chiến dịch thông tin sai lệch.
Để đối phó, các biện pháp phòng thủ mạng không chỉ cần củng cố kỹ thuật trước APT mà còn phải kiểm soát các kênh thông tin nhằm hạn chế ảnh hưởng đến nhận thức cộng đồng. Với nền tảng tư tưởng kháng chiến và tử vì đạo, nhóm này tiếp tục là ví dụ điển hình về chiến tranh mạng do nhà nước tài trợ, đòi hỏi giám sát chặt chẽ các thực thể đổi tên và các kênh tuyên truyền để ngăn chặn nguy cơ từ sớm.
Đọc chi tiết tại đây: https://gbhackers.com/iranian-threat-actors-target-u-s-critical-infrastructure/
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
