Liệu bạn có bao giờ ngờ rằng một cuộc gọi video thông thường qua Microsoft Teams có thể là bẫy thông tin tài khoản của mình? MuddyWater, nhóm hacker khét tiếng được chính phủ Iran hậu thuẫn, vừa chứng minh điều đó là hoàn toàn có thể. Theo báo cáo từ Rapid7, nhóm này đã thực hiện một chiến dịch tấn công false flag cực kỳ tinh vi - giả vờ tấn công ransomware nhưng mục tiêu thực sự là đánh cắp thông tin đăng nhập. Điều đáng lo ngại hơn cả là họ đã lợi dụng Microsoft Teams, công cụ làm việc quen thuộc của hàng triệu người dùng, để thực hiện kỹ thuật social engineering.

Khi kẻ thù đội lốt bạn bè

MuddyWater, còn được biết đến với các tên gọi khác như Mango Sandstorm, Seedworm và Static Kitten, đã cho thấy sự tinh vi trong chiến thuật false flag của mình. Thuật ngữ "false flag" (cờ hiệu giả) trong an ninh mạng có nghĩa là hacker cố tình tạo ra dấu vết giả mạo để đổ lỗi cho nhóm khác hoặc che giấu mục đích thực sự. Trong trường hợp này, họ không thực sự quan tâm đến việc mã hóa dữ liệu để đòi tiền chuộc như ransomware thông thường. Mục tiêu chính là thu thập thông tin đăng nhập có giá trị để phục vụ các hoạt động gián điệp dài hạn.

Chúng tôi cho rằng đây là một bước tiến đáng kể trong chiến thuật của các nhóm APT (Advanced Persistent Threat - mối đe dọa dai dẳng nâng cao). Thay vì chỉ tập trung vào tấn công kỹ thuật thuần túy, MuddyWater đã chuyển sang khai thác yếu tố con người - khâu yếu nhất trong chuỗi bảo mật. Việc sử dụng Microsoft Teams như một công cụ tấn công cho thấy họ hiểu rõ môi trường làm việc hiện đại và cách thức hoạt động của các tổ chức.

Chiến thuật social engineering qua Teams: Khi công nghệ trở thành con dao hai lưỡi

Microsoft Teams đã trở thành xương sống của nhiều tổ chức, đặc biệt sau đại dịch COVID-19 khi làm việc từ xa trở nên phổ biến. Chính sự quen thuộc và tin tưởng này đã trở thành vũ khí trong tay MuddyWater. Theo phân tích của Rapid7, nhóm hacker này đã sử dụng các kỹ thuật social engineering phức tạp thông qua nền tảng Teams để lừa người dùng cung cấp thông tin đăng nhập.

Social engineering (kỹ thuật xã hội) là phương thức tấn công dựa trên việc thao túng tâm lý con người thay vì khai thác lỗ hổng kỹ thuật. Trong trường hợp này, kẻ tấn công có thể giả danh đồng nghiệp, IT support hoặc đối tác để tạo cuộc gọi Teams giả mạo. Họ có thể yêu cầu nạn nhân "xác minh" tài khoản do "sự cố bảo mật" hoặc "cập nhật hệ thống" khẩn cấp. Một khi có được thông tin đăng nhập, MuddyWater sẽ triển khai mã độc ransomware để tạo vỏ bọc che giấu hoạt động gián điệp thực sự.

Tác động và mức độ nguy hiểm

Chiến dịch false flag của MuddyWater đặc biệt nguy hiểm vì nó kết hợp cả tấn công mạng và chiến tranh thông tin. Các tổ chức bị tấn công không chỉ mất dữ liệu mà còn có thể bị đánh cắp thông tin nhạy cảm trong thời gian dài mà không hề hay biết. Theo thống kê từ IBM Security, chi phí trung bình của một vụ rò rỉ dữ liệu năm 2024 là 4,88 triệu USD, tăng 10% so với năm trước.

Đối với Việt Nam, mối đe dọa này càng nghiêm trọng khi nhiều doanh nghiệp đang trong quá trình chuyển đổi số và chưa có hệ thống bảo mật hoàn chỉnh. Báo cáo từ VNCERT cho thấy năm 2024, Việt Nam ghi nhận hơn 3.000 cuộc tấn công mạng, tăng 25% so với năm 2023. Việc MuddyWater nhắm vào các công cụ làm việc phổ biến như Teams có thể tạo ra làn sóng tấn công mới nhắm vào các doanh nghiệp Việt Nam đang sử dụng Microsoft 365.

Khuyến nghị bảo vệ khẩn cấp

Chúng tôi khuyến cáo các tổ chức cần thực hiện ngay các biện pháp sau: Đầu tiên, thiết lập xác thực đa yếu tố (MFA - Multi-Factor Authentication) cho tất cả tài khoản Microsoft Teams và Office 365. Thứ hai, đào tạo nhân viên nhận biết các dấu hiệu social engineering, đặc biệt cảnh giác với các yêu cầu khẩn cấp về thông tin đăng nhập qua cuộc gọi hoặc tin nhắn. Thứ ba, thiết lập chính sách không bao giờ chia sẻ mật khẩu qua điện thoại hoặc email, ngay cả khi đối phương tự xưng là IT support.

Ngoài ra, các tổ chức nên cấu hình Teams chỉ cho phép cuộc họp từ người dùng trong tổ chức hoặc danh sách được phê duyệt. Triển khai giải pháp giám sát hành vi người dùng (UBA - User Behavior Analytics) để phát hiện hoạt động bất thường. Cuối cùng, thực hiện sao lưu dữ liệu thường xuyên và lưu trữ offline để phòng trường hợp bị tấn công ransomware thật sự. Với MuddyWater và các nhóm APT ngày càng tinh vi, việc phòng thủ chủ động là chìa khóa để bảo vệ tổ chức khỏi các cuộc tấn công false flag trong tương lai.