Tưởng tượng bạn thấy kẻ trộm đập phá cửa kính xe hơi để lấy chiếc túi xách rẻ tiền, nhưng thực chất hắn đang cài thiết bị theo dõi GPS vào xe của bạn. Chính xác đó là chiến thuật mà nhóm hacker MuddyWater của Iran đã sử dụng trong chiến dịch tấn công mới nhất. Thay vì tập trung vào việc mã hóa dữ liệu để tống tiền như ransomware thông thường, họ sử dụng Chaos ransomware như một "màn khói" để che đậy hoạt động gián điệp thực sự. Điều đáng lo ngại hơn là họ đã thành công trong việc xâm nhập các tổ chức chính phủ thông qua Microsoft Teams.

Kịch bản tấn công tinh vi như phim điệp viên

MuddyWater - nhóm hacker được cơ quan an ninh mạng quốc tế xếp vào danh sách APT (Advanced Persistent Threat - mối đe dọa dai dẳng nâng cao) - đã thực hiện một vở kịch gần như hoàn hảo. Thay vì tấn công trực diện, họ chọn cách "cosplay" thành nhóm ransomware nghiệp dư. Chaos ransomware mà họ sử dụng thực chất là một loại mã độc có khả năng phá hủy dữ liệu khá thô sơ, thường được các hacker tập sự sử dụng.

Chiến thuật này giống như việc một điệp viên chuyên nghiệp cố tình hành động vụng về để tạo ấn tượng mình chỉ là kẻ trộm vặt. Khi các chuyên gia bảo mật tập trung vào việc khôi phục dữ liệu bị mã hóa và coi đây là vụ tấn công ransomware thông thường, MuddyWater đã âm thầm thiết lập các backdoor (cửa hậu) để duy trì quyền truy cập lâu dài vào hệ thống. Chúng tôi cho rằng đây là một trong những chiến thuật tinh vi nhất mà chúng tôi từng ghi nhận trong năm 2024.

Microsoft Teams trở thành vũ khí tấn công bất ngờ

Điểm đáng chú ý nhất trong chiến dịch này là cách MuddyWater khai thác Microsoft Teams. Thay vì sử dụng email fishing truyền thống, họ chuyển sang platform mà hầu hết doanh nghiệp đều tin tưởng và sử dụng hàng ngày. Social engineering (kỹ thuật tâm lý học xã hội) thông qua Teams trở nên cực kỳ hiệu quả vì nhân viên thường ít cảnh giác khi nhận được tin nhắn từ nền tảng "nội bộ" này.

Quy trình tấn công của họ diễn ra như sau: đầu tiên, họ gửi tin nhắn qua Teams chứa link độc hại hoặc file đính kèm có chứa mã độc. Khi nạn nhân click vào, malware sẽ được cài đặt và tạo ra persistence (khả năng duy trì quyền truy cập). Tiếp theo, họ triển khai Chaos ransomware để tạo "tiếng ồn" và đánh lạc hướng. Trong khi các đội IT bận rộn xử lý sự cố ransomware, MuddyWater đã âm thầm thu thập intelligence (thông tin tình báo) và thiết lập các kênh truyền dữ liệu bí mật.

Mức độ nguy hiểm vượt xa con số thiệt hại ban đầu

Theo đánh giá của chúng tôi, chiến thuật này nguy hiểm gấp 10 lần so với ransomware thông thường. Nếu như ransomware chỉ gây thiệt hại tài chính tức thì, thì việc MuddyWater có được quyền truy cập lâu dài vào hệ thống có thể dẫn đến hậu quả khôn lường. Họ có thể đánh cắp bí mật thương mại, thông tin cá nhân của khách hàng, hoặc thậm chí sử dụng hệ thống bị xâm phạm làm bàn đạp tấn công các mục tiêu khác.

Tại Việt Nam, số liệu từ Cục An toàn thông tin cho thấy có hơn 15.000 cuộc tấn công mạng được ghi nhận trong 9 tháng đầu năm 2024, tăng 23% so với cùng kỳ năm trước. Trong đó, các cuộc tấn công nhằm vào cơ quan nhà nước và doanh nghiệp lớn chiếm 68%. Với việc MuddyWater đã chuyển hướng sang khai thác Microsoft Teams, chúng tôi dự báo các doanh nghiệp Việt Nam đang sử dụng nền tảng này sẽ trở thành mục tiêu tiềm năng.

Hướng dẫn bảo vệ khẩn cấp cho doanh nghiệp Việt

Doanh nghiệp cần thực hiện ngay 5 bước bảo vệ then chốt. Thứ nhất, cấu hình Microsoft Teams để chỉ cho phép nhận tin nhắn từ domain đã được xác thực và hạn chế chia sẻ file từ nguồn bên ngoài. Thứ hai, triển khai giải pháp EDR (Endpoint Detection and Response - phát hiện và ứng phó tại điểm cuối) để giám sát hoạt động bất thường trên các thiết bị. Thứ ba, thiết lập network segmentation (phân đoạn mạng) để hạn chế khả năng lateral movement (di chuyển ngang) của hacker khi đã xâm nhập thành công.

Bước thứ tư là đào tạo nhân viên nhận biết các dấu hiệu tin nhắn đáng ngờ qua Teams, đặc biệt là những tin nhắn yêu cầu click link hoặc tải file từ người gửi không quen thuộc. Cuối cùng, xây dựng incident response plan (kế hoạch ứng phó sự cố) cụ thể cho tình huống tấn công qua Teams, bao gồm cách cách ly nhanh thiết bị bị nhiễm và quy trình báo cáo. Đừng quên cập nhật thường xuyên threat intelligence (thông tin mối đe dọa) về nhóm MuddyWater vì họ liên tục thay đổi TTPs (Tactics, Techniques, and Procedures - chiến thuật, kỹ thuật và quy trình) tấn công.