Một cuộc điều tra an ninh mạng gần đây đã làm sáng tỏ mối liên hệ đáng lo ngại giữa nhóm tin tặc APT39, được cho là có sự hậu thuẫn của chính quyền Iran, và công ty an ninh mạng Amnban. Sự việc này đã dẫn đến việc rò rỉ hàng gigabyte dữ liệu nhạy cảm và phanh phui hoạt động gián điệp mạng có tổ chức, đe dọa đến an toàn hàng không và bảo mật cá nhân trên toàn cầu.

Công ty Amnban được thành lập vào năm 2018 với sự hậu thuẫn của các cựu sinh viên Đại học Sharif và Đại học Amir Kabir, ban đầu quảng bá là đơn vị chuyên về thử nghiệm xâm nhập và tư vấn bảo mật hợp pháp. Tuy nhiên, dữ liệu bị rò rỉ gần đây đã cho thấy một bức tranh hoàn toàn khác: công ty này bị cáo buộc là vỏ bọc cho nhóm APT39 (còn gọi là Chafer), chuyên thu thập thông tin tình báo mạng cho Bộ Tình báo Iran (MOIS).

Các tài liệu bị đánh cắp cho thấy Amnban không chỉ bị xâm nhập mà còn trực tiếp vận hành các chiến dịch thu thập dữ liệu nhạy cảm như hộ chiếu, địa chỉ, ảnh chân dung và thông tin liên hệ của hàng triệu hành khách hàng không trên toàn thế giới. Những dữ liệu này có thể bị sử dụng để theo dõi, đánh cắp danh tính, thậm chí phục vụ mục đích vi phạm nhân quyền.

Một số nhân vật chủ chốt của công ty Amnban đã bị nêu tên, bao gồm CEO Behnam Amiri, người từng bị tình báo quốc tế cảnh báo, và Ali Kamali, hacker từng bị FBI trừng phạt vì các cuộc tấn công vào cơ sở hạ tầng của Mỹ. Ngoài ra, đặc vụ Hamed Mashayekhi của MOIS cũng được cho là thường xuyên lui tới trụ sở Amnban.

Từ các hãng hàng không đến sàn tiền số: Mục tiêu toàn cầu

Dưới danh nghĩa đào tạo OSINT (tình báo nguồn mở), Amnban đã tiến hành do thám hàng loạt hãng hàng không như Emirates, Qatar Airways, Turkish Airlines, Etihad, Kenya Airways… cùng các công ty vận chuyển lớn như FedEx, DHL, USPS, và cả các thực thể của Nga. Dữ liệu cho thấy các chiến dịch có quy mô lớn, có tổ chức và nhắm đến cả đồng minh lẫn đối thủ của Iran.

Không dừng lại ở đó, nhóm còn nhắm đến sàn giao dịch tiền số như KuCoin, Binance, CoinSwitch… bằng cách sử dụng kỹ thuật xã hội tinh vi như tạo hồ sơ giả trên LinkedIn để lừa đảo nhân viên, dụ họ cài mã độc, hoặc thu thập thông tin hệ thống qua các liên kết theo dõi.

Hạ tầng hỗ trợ chiến dịch này bao gồm hàng trăm máy chủ ảo và hệ thống gửi email giả mạo được phân bố toàn cầu, cho phép vận hành liên tục các hoạt động lừa đảo, đánh cắp dữ liệu, kiểm soát từ xa, đe dọa nghiêm trọng đến an ninh hàng không và mạng lưới tài chính quốc tế.

Sự cố này là lời cảnh báo mạnh mẽ về rủi ro đến từ các hoạt động gián điệp mạng do nhà nước tài trợ. Các tổ chức hàng không, công nghệ và tài chính cần khẩn cấp đánh giá lại hệ thống bảo mật, trong khi cộng đồng quốc tế cần phối hợp hành động để đối phó với những mối đe dọa có tổ chức như APT39.

Một loạt vụ tấn công mạng gần đây đã nhắm vào phần mềm quản lý tài liệu SharePoint của Microsoft, với Cơ quan An ninh hạt nhân quốc gia Mỹ (NSA) là một trong những mục tiêu chính. Mặc dù hệ thống của NSA bị xâm nhập, nhưng may mắn là không có dữ liệu mật hay thông tin nhạy cảm nào bị đánh cắp. Thông tin này đã được tiết lộ trong bối cảnh các chuyên gia bảo mật đang nỗ lực tìm hiểu về chiến dịch tấn công mạng có tên ‘ToolShell’.

Các cuộc tấn công trong chiến dịch ‘ToolShell’ cho phép tin tặc chiếm quyền kiểm soát hoàn toàn hệ thống và cài đặt cửa hậu (backdoor) để truy cập lâu dài. Đức và một số nước châu Âu khác cũng là mục tiêu của các cuộc tấn công này. Các tổ chức sử dụng SharePoint trong các lĩnh vực như chính phủ, công nghiệp quốc phòng, ngân hàng và y tế là những mục tiêu chính.

Các chuyên gia bảo mật đã phát hiện ra rằng, sự phát triển của trí tuệ nhân tạo (AI) đã giúp tin tặc tạo ra các cuộc tấn công mạng tinh vi hơn. Việc sử dụng email lừa đảo với nội dung tự nhiên giống như thật là một trong những phương thức được tin tặc sử dụng để xâm nhập hệ thống. Điều này đòi hỏi người dùng cần nâng cao cảnh giác và áp dụng các biện pháp bảo mật cần thiết để phòng tránh các cuộc tấn công mạng.

Trong bối cảnh tình hình an ninh mạng đang ngày càng phức tạp, các tổ chức và doanh nghiệp cần phải tăng cường đầu tư vào các giải pháp bảo mật để bảo vệ hệ thống và dữ liệu của mình. Việc thường xuyên cập nhật phần mềm, sử dụng các công cụ bảo mật hiện đại và đào tạo nhân viên về các kỹ năng bảo mật cơ bản là những bước đi quan trọng để đối phó với các mối đe dọa an ninh mạng.

Để biết thêm thông tin về các cuộc tấn công mạng và cách phòng tránh, bạn có thể truy cập vào các nguồn tin cậy như Microsoft Security hoặc các trang web chuyên về an ninh mạng khác.