Chủ nghĩa tin tặc (Hacktivism) đang phát triển – và đó có thể là một tin xấu cho tất cả các tổ chức

Published September 4, 2024 | By TT RND

Nguồn: ESET WeLiveSecurity

Tác giả: Phil Muncaster

Chủ nghĩa tin tặc không còn là điều mới, nhưng ranh giới gữa chủ nghĩa tin tặc truyền thống và các hoạt động được nhà nước hậu thuẫn ngày càng trở nên mờ nhạt, khiến nó trở thành một mối đe dọa mạnh mẽ hơn.

Chủ nghĩa tin tặc trỗi dậy trở lại sau cuộc xâm lược Ukraine của Nga vào tháng 2 năm 2022. Chưa đầy hai năm sau, các nhóm và cá nhân có động cơ chính trị lại hoạt động, lần này bề ngoài là để đưa ra quan điểm của họ trong bối cảnh xung đột Israel-Hamas. Điều đáng lo ngại là những kẻ tấn công đã bị phát hiện sử dụng các chiến thuật ngày càng tinh vi và hung hãn để thu hút sự chú ý của công chúng.

Có lẽ điều đáng lo ngại hơn nữa là khả năng nhiều nhóm trên thực tế là được hỗ trợ hoặc thậm chí bao gồm các chủ thể quốc gia. Thật vậy, ranh giới giữa các hoạt động mạng do nhà nước bảo trợ và chủ nghĩa tấn công mạng truyền thống đã trở nên mờ nhạt. Trong một thế giới ngày càng nổi bật bởi sự bất ổn chính trị và sự xói mòn của trật tự dựa trên quy tắc cũ, các tổ chức, đặc biệt là những tổ chức hoạt động trong cơ sở hạ tầng quan trọng, nên xem xét việc đưa mối đe dọa tấn công vào quản trị rủi ro của mình.

Có gì mới trong chủ nghĩa tin tặc?

Về cơ bản nhất, chủ nghĩa tin tặc là hành động phát động các cuộc tấn công mạng vì lý do chính trị hoặc xã hội. Như một dấu hiệu cho thấy mức độ nghiêm trọng hiện nay, Hội Chữ Thập Đỏ năm ngoái đã ban hành 8 quy tắc đối với “tin tặc dân sự” hoạt động trong thời chiến, đồng thời lưu ý rằng những kẻ tấn công mạng đang ngày càng gây ảnh hưởng cho các mục tiêu phi quân sự như bệnh viện, hiệu thuốc và các ngân hàng.

ĐỌC THÊM: ESET APT Activity Report Q4 2023–Q1 2024

Có thể dự đoán được, đa phần những kẻ tấn công không tuân thủ các nguyên tắc do Hội Chữ Thập Đỏ ban hành. Thật vậy, việc điều tra nguyên nhân trực tuyến vẫn còn khó khăn, việc tham gia vào hoạt động tin tặc vẫn có ưu điểm nhiều hơn nhược điểm – đặc biệt nếu các cuộc tấn công được các quốc gia bí mật hậu thuẫn.

Cái cũ và cái mới

Cuộc xung đột Israel-Hamas hiện nay đã thu hút số lượng lớn các cuộc biểu tình chưa từng có trên khắp thế giới. Và, ngay lập tức, nó đã dẫn đến sự gia tăng hoạt động trực tuyến. Phần lớn điều này tương tự như các chiến thuật mà chúng tôi đã thấy trong các chiến dịch tin tặc trước đây, bao gồm:

Tấn công DDoS: Theo một số nguồn tin, hoạt động DDoS do tin tặc điều khiển vào năm ngoái đã đạt đỉnh điểm vào tháng 10 ở “mức kỷ lục, sau cuộc xung đột giữa Israel và Hamas”. Điều này khiến Israel trở thành quốc gia bị những kẻ tấn công nhắm tới nhiều nhất; với 1.480 cuộc tấn công DDoS được ghi nhận vào năm 2023, bao gồm một số tổ chức có tên tuổi lớn.
Phá hủy giao diện web: Theo các nhà nghiên cứu của Đại học Cambridge, hơn 100 kẻ tấn công đã thực hiện hơn 500 cuộc tấn công phá hủy giao diện web trên các trang web của Israel trong tuần sau cuộc đột kích ngày 7 tháng 10. Các hành vi phá hoại web cấp độ thấp tương tự vẫn tiếp tục cho đến bây giờ.
Dữ liệu bị đánh cắp: Một số nhóm tuyên bố đã đánh cắp và công bố dữ liệu từ Israel và các tổ chức đồng minh. Nói cách khác, những kẻ tấn công có thể xâm nhập vào hệ thống của công ty để lấy cắp thông tin riêng tư trước khi công khai nhằm gây bối rối hoặc gây tổn hại cho mục tiêu.

Tuy nhiên, cũng có những dấu hiệu cho thấy chủ nghĩa tin tặc đang trở nên có mục tiêu và tinh vi hơn:

Một báo cáo cho thấy nhóm tin tặc AnonGhost đã khai thác lỗ hổng API trong ứng dụng “Red Alert”, ứng dụng này cung cấp cảnh báo tên lửa theo thời gian thực cho công dân Israel. Nhóm này “đã chặn thành công các yêu cầu, phát hiện các máy chủ và API dễ bị tấn công, đồng thời sử dụng các tập lệnh Python để gửi tin nhắn rác đến một số người dùng ứng dụng”. Nhóm thậm chí còn tìm cách gửi tin nhắn giả cho người dân về bom hạt nhân.
Các báo cáo khác lưu ý rằng kẻ tấn công đã đăng ảnh chụp màn hình cho thấy họ có quyền truy cập vào các thiết bị SCADA của hệ thống nước của Israel. Các nhà nghiên cứu không thể xác minh những tuyên bố này, nhưng cho rằng những kẻ tấn công có thể đã tiến hành các hoạt động trinh sát nhắm vào khu vực này.

Khi các quốc gia tham gia

Những kẻ tấn công có bí quyết kỹ thuật tiên tiến hơn và/hoặc quyền truy cập vào các công cụ và kiến thức về tội phạm mạng ngầm có thể đứng đằng sau các cuộc tấn công sau. Tuy nhiên, không thể loại trừ sự ủng hộ của nhà nước. Nhiều quốc gia ngụy trang là chủ nghĩa hacktivism để tấn công các quốc gia khác và đồng minh của họ.

ĐỌC THÊM: Nhà nước bảo trợ hoặc có động cơ tài chính: Có sự khác biệt nào nữa không?

Trên thực tế, các nhóm bị nghi ngờ có liên quan đến Nga dường như đã có lịch sử lâu dài về việc này, bao gồm cả những nhóm có biệt danh là Anonymous Sudan, đã hạ gục nhiều mục tiêu ở phương Tây. Nhóm này đã tuyên bố tấn công tờ The Jerusalem Post và một số trang khác nhắm vào các hệ thống điều khiển công nghiệp (ICS), bao gồm Hệ thống vệ tinh dẫn đường toàn cầu của Israel, Mạng điều khiển và tự động hóa tòa nhà và Modbus ICS. Một nhóm thân với Nga khác là Killnet tuyên bố đã đánh sập một trang web của chính phủ Israel và trang web của cơ quan an ninh Shin Bet.

Mặc dù các cuộc tấn công này có quy mô lớn đáng chú ý nhưng vẫn có dấu hiệu được nhà nước hậu thuẫn giả dạng chủ nghĩa tin tặc một các tinh vi hơn. Cố gắng đưa thông tin sai lệch bao gồm việc sử dụng các hình ảnh do AI tạo ra nhằm mục đích công khai các cuộc tấn công bằng tên lửa, xe tăng đi qua các khu dân cư đổ nát hoặc các gia đình đang tìm kiếm những người sống sót trong đống đổ nát.

Trọng tâm ở đây là tạo ra những hình ảnh tạo ra phản ứng cảm xúc mạnh mẽ – chẳng hạn như ảnh một em bé khóc giữa đống đổ nát sau đánh bom, được lan truyền rộng rãi vào cuối năm ngoái. Các tài khoản mạng xã hội và Telegram giả mạo đã khuếch đại thông tin sai lệch. Một trường hợp ví dụ, chủ sở hữu X – Elon Musk, có vẻ đã quảng cáo một bài đăng từ một tài khoản giả mạo có lượt xem là 11 triệu sau đó xóa nó.

Các nhà nghiên cứu bảo mật đã quan sát thấy hoạt động phối hợp đáng ngờ sau vụ tấn công của Hamas – có thể cho thấy có sự tham gia của nhà nước. Một nghiên cứu cho biết ít nhất 30 nhóm tin tặc đã ngay lập tức chuyển hoạt động sang xung đột trong vòng 48 giờ.

Làm thế nào các tổ chức có thể quản lý rủi ro tin tặc

Cho dù mối đe dọa tin tặc đến từ các nhóm thực sự, những người làm việc liên kết với lợi ích nhà nước hay chính các đặc vụ nhà nước bí mật của quốc gia, thì cũng vẫn là mối đe. Những nhóm như vậy đang ngày càng nhắm tới các tổ chức thuộc khu vực tư nhân dám lên tiếng về các vấn đề nhạy cảm về chính trị. Trong một số trường hợp, họ có thể làm như vậy đơn giản vì nhóm được cho là có liên kết với một đảng nào đó. Hoặc để che đậy những mục tiêu quốc gia tinh vi hơn.

Dù lý do là gì, các tổ chức có thể làm theo các bước cấp cao cơ bản sau để giảm thiểu rủi ro tin tặc:

Đặt những câu hỏi phù hợp: Chúng ta có phải là mục tiêu không? Những tài sản nào có nguy cơ? Bề mặt tấn công (attack surface) của chúng ta lớn đến mức nào? Các biện pháp hiện tại có đủ để giảm thiểu rủi ro tin tặc không? Đây là nơi đánh giá rủi ro mạng toàn diện đối với cơ sở hạ tầng bên ngoài của bạn có thể hữu ích.
Đóng mọi lỗ hổng được phát hiện bởi các đánh giá như vậy, bao gồm các lỗ hổng hoặc cấu hình sai – tốt nhất nhất thực hiện một cách liên tục và tự động.
Đảm bảo tài sản được bảo vệ khỏi các mối đe dọa tại email, thiết bị đầu cuối, mạng và hybrid cloud layer và liên tục theo dõi các mối đe dọa bằng các công cụ XDR/MDR.
Sử dụng thông tin về mối đe dọa để thu thập, phân tích và hành động dựa trên thông tin về các mối đe dọa hiện tại và mới nổi.
Áp dụng mã hóa mạnh mẽ, cả khi lưu trữ và khi truyền, để bảo vệ dữ liệu nhạy cảm khỏi bị đọc hoặc sửa đổi bởi các bên trái phép.
Tăng cường quản lý danh tính và quyền truy cập với cơ sở không tin cậy và xác thực đa yếu tố (MFA), đồng thời theo dõi các mẫu truy cập dữ liệu đáng ngờ.
Liên tục chạy các chương trình đào tạo và nâng cao nhận thức nhân viên.
Hợp tác với bên thứ ba đáng tin cậy để giảm thiểu DDoS.
Xây dựng và thử nghiệm một kế hoạch toàn diện để ứng phó sự cố.