Khi nhắc đến tấn công mạng từ Iran, nhiều người lập tức nghĩ đến những cuộc tấn công quy mô lớn, gây tê liệt hạ tầng như trong phim viễn tưởng. Thực tế, các quan chức an ninh mạng và chuyên gia hàng đầu thế giới vừa đưa ra cảnh báo hoàn toàn trái ngược. Thay vì 'shock and awe' (sốc và choáng ngợp), Iran đang ưa chuộng chiến thuật 'low and slow' - âm thầm và kéo dài. Đây chính là mối đe dọa thực sự mà các tổ chức cần lo ngại.

Chiến thuật 'ma quỷ' của hacker Iran

Các nhóm hacker Iran không còn tập trung vào những cuộc tấn công ầm ĩ gây chấn động truyền thông. Thay vào đó, họ chọn cách xâm nhập cơ hội (opportunistic intrusions) - tận dụng mọi lỗ hổng nhỏ để len lỏi vào hệ thống. Điều đáng lo ngại hơn, họ có xu hướng 'trang điểm' cho các cuộc tấn công, làm chúng trông có vẻ quy mô lớn hơn thực tế.

Chúng tôi cho rằng chiến thuật này nguy hiểm gấp bội so với các cuộc tấn công truyền thống. Khi một cuộc tấn công diễn ra âm thầm trong thời gian dài, kẻ tấn công có đủ thời gian thu thập thông tin, lập bản đồ hệ thống và chuẩn bị cho đợt tấn công chính thức. Việc phóng đại quy mô còn tạo hiệu ứng tâm lý, khiến nạn nhân hoang mang, đưa ra quyết định sai lầm.

Bên trong 'phòng thí nghiệm' tấn công Iran

Để hiểu rõ modus operandi (phương thức hoạt động) của các nhóm hacker Iran, cần nhìn vào cấu trúc tổ chức của họ. Khác với ransomware (mã độc tống tiền) hoạt động vì lợi nhuận, các nhóm Iran thường có động cơ địa chính trị. Họ không vội vã tạo tiếng vang lớn mà kiên nhẫn duy trì persistent access (quyền truy cập dai dẳng) vào hệ thống mục tiêu.

Advanced Persistent Threat (APT) - tấn công dai dẳng cấp cao - chính là thế mạnh của Iran. Các nhóm như APT33, APT34 hay APT35 đã chứng minh khả năng 'ngủ đông' trong hệ thống nạn nhân hàng tháng, thậm chí hàng năm. Trong thời gian này, họ âm thầm thu thập dữ liệu, theo dõi hoạt động và chờ thời cơ thích hợp để hành động. So với WannaCry hay NotPetya gây náo loạn toàn cầu trong vài ngày, chiến thuật Iran tỏ ra tinh vi và khó phát hiện hơn nhiều.

Tác động thầm lặng nhưng sâu sắc

Thiệt hại từ chiến thuật 'low and slow' thường không được thống kê chính xác do tính chất âm thầm của nó. Theo báo cáo của IBM Security, thời gian trung bình để phát hiện một cuộc tấn công APT là 287 ngày. Con số này có nghĩa hacker đã có gần 10 tháng để 'sinh sống' trong hệ thống trước khi bị phát hiện.

Tại Việt Nam, tình hình không khả quan hơn. Theo Cục An toàn thông tin (Bộ TT&TT), năm 2023 có hơn 13.000 cuộc tấn công mạng nhằm vào các cơ quan, tổ chức Việt Nam. Chúng tôi đánh giá rằng con số thực tế có thể cao hơn nhiều do đặc thù của tấn công APT khó phát hiện. Các doanh nghiệp Việt Nam, đặc biệt trong lĩnh vực tài chính, viễn thông và năng lượng, đang là mục tiêu tiềm năng của các nhóm hacker có động cơ địa chính trị.

Xây dựng 'lá chắn' chống tấn công thầm lặng

Đối phó với chiến thuật 'low and slow' đòi hỏi mindset (tư duy) hoàn toàn mới về an ninh mạng. Thay vì chỉ tập trung vào firewall (tường lửa) và antivirus (phần mềm diệt virus), doanh nghiệp cần triển khai Security Operations Center (SOC) - trung tâm điều hành an ninh mạng 24/7. SOC giúp monitor (giám sát) liên tục network traffic (lưu lượng mạng) và phát hiện anomaly (bất thường) trong behavior pattern (mẫu hành vi) của hệ thống.

Các bước cụ thể doanh nghiệp Việt Nam cần thực hiện ngay: triển khai endpoint detection and response (EDR) trên tất cả thiết bị; thực hiện vulnerability assessment (đánh giá lỗ hổng) hàng quý; xây dựng incident response plan (kế hoạch ứng phó sự cố) chi tiết; đào tạo nhân viên nhận biết spear-phishing (câu cá nhắm mục tiêu). Đặc biệt, cần có threat intelligence (thông tin tình báo mối đe dọa) cập nhật về các nhóm APT hoạt động trong khu vực để chủ động phòng ngừa.