Nguyễn Tiến Đạt
Intern Writer
Một chiến dịch tấn công mạng quy mô lớn có liên hệ với Iran đang làm dấy lên lo ngại về an ninh dữ liệu tại khu vực Trung Đông, khi hơn 300 tổ chức sử dụng nền tảng Microsoft 365 tại Israel trở thành mục tiêu.
Theo báo cáo từ hãng an ninh mạng Check Point, các cuộc tấn công được triển khai theo hình thức “dò mật khẩu” (password spraying), một kỹ thuật cho phép tin tặc thử một mật khẩu phổ biến trên nhiều tài khoản khác nhau nhằm khai thác những hệ thống có bảo mật yếu. Hoạt động này diễn ra thành ba đợt riêng biệt vào các ngày 3, 13 và 23/3/2026, và được đánh giá là vẫn đang tiếp diễn.
Không chỉ Israel, chiến dịch còn ảnh hưởng đến hơn 25 tổ chức tại Các Tiểu vương quốc Ả Rập Thống nhất (UAE), đồng thời ghi nhận dấu hiệu nhắm mục tiêu hạn chế tại châu Âu, Mỹ, Anh và Ả Rập Xê Út. Các lĩnh vực bị nhắm tới bao gồm cơ quan chính phủ, công nghệ, năng lượng, vận tải và nhiều doanh nghiệp tư nhân.
Các chuyên gia nhận định phương thức tấn công này có nhiều điểm tương đồng với hoạt động của những nhóm tin tặc Iran từng được biết đến như Gray Sandstorm hay Peach Sandstorm. Tin tặc sử dụng các nút thoát Tor và dịch vụ VPN thương mại để che giấu danh tính, đồng thời tận dụng các công cụ mô phỏng tấn công (red-team tools) để tăng hiệu quả xâm nhập.
Quy trình tấn công thường bắt đầu bằng việc quét hệ thống hoặc thử đăng nhập hàng loạt, sau đó khai thác thành công các tài khoản có mật khẩu yếu để truy cập sâu hơn vào hệ thống. Khi đã chiếm được quyền kiểm soát, tin tặc có thể đánh cắp dữ liệu nhạy cảm như email nội bộ hoặc thông tin đăng nhập, tạo điều kiện cho các cuộc tấn công tiếp theo.
Song song với đó, các chuyên gia cũng ghi nhận sự trở lại của nhóm mã độc tống tiền Pay2Key – một tổ chức được cho là có liên hệ với chính phủ Iran. Nhóm này đã thực hiện một cuộc tấn công nhằm vào tổ chức y tế tại Mỹ vào cuối tháng 2/2026, sử dụng biến thể ransomware nâng cấp với khả năng né tránh và xóa dấu vết tinh vi hơn.
Trong vụ việc, tin tặc được cho là đã khai thác một điểm truy cập chưa xác định, sử dụng phần mềm điều khiển từ xa hợp pháp để xâm nhập, sau đó di chuyển ngang trong hệ thống, vô hiệu hóa các biện pháp bảo mật và triển khai mã độc. Đáng chú ý, chúng xóa toàn bộ nhật ký hoạt động sau khi hoàn tất quá trình mã hóa nhằm che giấu dấu vết.
Giới chuyên gia cảnh báo các chiến dịch tấn công mạng mang yếu tố địa chính trị đang ngày càng gia tăng, đặc biệt trong bối cảnh căng thẳng tại Trung Đông leo thang. Ranh giới giữa tội phạm mạng vì mục đích tài chính và hoạt động phá hoại có yếu tố nhà nước bảo trợ cũng ngày càng trở nên mờ nhạt.
Trước mối đe dọa này, các tổ chức được khuyến nghị tăng cường giám sát đăng nhập, triển khai xác thực đa yếu tố (MFA), hạn chế truy cập theo khu vực địa lý và duy trì hệ thống ghi nhật ký đầy đủ để kịp thời phát hiện và ứng phó với các sự cố an ninh mạng.
Theo báo cáo từ hãng an ninh mạng Check Point, các cuộc tấn công được triển khai theo hình thức “dò mật khẩu” (password spraying), một kỹ thuật cho phép tin tặc thử một mật khẩu phổ biến trên nhiều tài khoản khác nhau nhằm khai thác những hệ thống có bảo mật yếu. Hoạt động này diễn ra thành ba đợt riêng biệt vào các ngày 3, 13 và 23/3/2026, và được đánh giá là vẫn đang tiếp diễn.
Không chỉ Israel, chiến dịch còn ảnh hưởng đến hơn 25 tổ chức tại Các Tiểu vương quốc Ả Rập Thống nhất (UAE), đồng thời ghi nhận dấu hiệu nhắm mục tiêu hạn chế tại châu Âu, Mỹ, Anh và Ả Rập Xê Út. Các lĩnh vực bị nhắm tới bao gồm cơ quan chính phủ, công nghệ, năng lượng, vận tải và nhiều doanh nghiệp tư nhân.
Các chuyên gia nhận định phương thức tấn công này có nhiều điểm tương đồng với hoạt động của những nhóm tin tặc Iran từng được biết đến như Gray Sandstorm hay Peach Sandstorm. Tin tặc sử dụng các nút thoát Tor và dịch vụ VPN thương mại để che giấu danh tính, đồng thời tận dụng các công cụ mô phỏng tấn công (red-team tools) để tăng hiệu quả xâm nhập.
Quy trình tấn công thường bắt đầu bằng việc quét hệ thống hoặc thử đăng nhập hàng loạt, sau đó khai thác thành công các tài khoản có mật khẩu yếu để truy cập sâu hơn vào hệ thống. Khi đã chiếm được quyền kiểm soát, tin tặc có thể đánh cắp dữ liệu nhạy cảm như email nội bộ hoặc thông tin đăng nhập, tạo điều kiện cho các cuộc tấn công tiếp theo.
Song song với đó, các chuyên gia cũng ghi nhận sự trở lại của nhóm mã độc tống tiền Pay2Key – một tổ chức được cho là có liên hệ với chính phủ Iran. Nhóm này đã thực hiện một cuộc tấn công nhằm vào tổ chức y tế tại Mỹ vào cuối tháng 2/2026, sử dụng biến thể ransomware nâng cấp với khả năng né tránh và xóa dấu vết tinh vi hơn.
Trong vụ việc, tin tặc được cho là đã khai thác một điểm truy cập chưa xác định, sử dụng phần mềm điều khiển từ xa hợp pháp để xâm nhập, sau đó di chuyển ngang trong hệ thống, vô hiệu hóa các biện pháp bảo mật và triển khai mã độc. Đáng chú ý, chúng xóa toàn bộ nhật ký hoạt động sau khi hoàn tất quá trình mã hóa nhằm che giấu dấu vết.
Giới chuyên gia cảnh báo các chiến dịch tấn công mạng mang yếu tố địa chính trị đang ngày càng gia tăng, đặc biệt trong bối cảnh căng thẳng tại Trung Đông leo thang. Ranh giới giữa tội phạm mạng vì mục đích tài chính và hoạt động phá hoại có yếu tố nhà nước bảo trợ cũng ngày càng trở nên mờ nhạt.
Trước mối đe dọa này, các tổ chức được khuyến nghị tăng cường giám sát đăng nhập, triển khai xác thực đa yếu tố (MFA), hạn chế truy cập theo khu vực địa lý và duy trì hệ thống ghi nhật ký đầy đủ để kịp thời phát hiện và ứng phó với các sự cố an ninh mạng.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
