Mỹ cảnh báo về các mối đe dọa mạng của Iran đối với cơ sở hạ tầng quan trọng

Các cơ quan chức năng của Mỹ bao gồm Cục Điều tra Liên bang (FBI), Bộ Quốc phòng (DoD), Cơ quan An ninh quốc gia (NSA), Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) đã đưa ra cảnh báo về các cuộc tấn công mạng tiềm ẩn từ các nhóm tin tặc Iran, nhắm vào cơ sở hạ tầng quan trọng của Mỹ.

Cảnh báo tấn công mạng đến từ Iran

Theo CISA cho biết, không có dấu hiệu nào cho thấy một chiến dịch tấn công thực tế đang diễn ra, tuy nhiên cơ quan này kêu gọi các tổ chức cơ sở hạ tầng quan trọng của Mỹ nên tăng cường bảo mật hệ thống mạng của họ, bởi tình hình bất ổn hiện nay ở Trung Đông và các cuộc tấn công mạng trước đây có liên quan đến Iran.

Trong một báo cáo chung, các cơ quan an ninh mạng đã cảnh báo rằng các công ty thuộc Cơ sở công nghiệp quốc phòng (DIB) có liên hệ với Israel có nguy cơ bị nhắm mục tiêu cao hơn. Các tổ chức khác trong các lĩnh vực cơ sở hạ tầng quan trọng bao gồm năng lượng, nước và chăm sóc sức khỏe, cũng được coi là mục tiêu tiềm năng.

Các cơ quan này đã cảnh báo rằng, các tác nhân đe dọa đến từ Iran có xu hướng khai thác các lỗ hổng chưa được vá hoặc sử dụng mật khẩu mặc định để chiếm quyền các hệ thống vi phạm. Điều này đã được minh chứng khi các tin tặc Iran có liên kết với Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC), từng thực hiện tấn công mạng một cơ sở cấp nước của Pennsylvania (một tiểu bang của Mỹ) vào tháng 11/2023, bằng cách nhắm vào các thông tin bị rò rỉ trực tuyến trên bộ điều khiển logic lập trình (PLC) của Unitronics.

Ngoài ra, các tin tặc Iran đã thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS) hoặc làm mất uy tín các trang web mục tiêu bằng tấn công thay đổi giao diện. Các cuộc tấn công này thường được thực hiện kết hợp với các thông điệp có động cơ chính trị.

Đặc biệt, tin tặc Iran cũng được phát hiện sử dụng mã độc tống tiền hoặc tổ chức thành các chi nhánh của các băng nhóm mã độc tống tiền của Nga, chẳng hạn như NoEscape, Ransomhouse và ALPHV (còn được gọi là BlackCat). Nhiều cuộc tấn công trong số này tập trung vào các công ty Israel, nơi mà những kẻ tấn công mã hóa thiết bị và làm rò rỉ dữ liệu bị đánh cắp.

Trong một số trường hợp, các tin tặc sử dụng phần mềm xóa dữ liệu thay vì mã độc tống tiền để thực hiện các cuộc tấn công phá hoại nhắm vào các tổ chức.

Giảm thiểu các cuộc tấn công

FBI, DoD, NSA và CISA kêu gọi các tổ chức áp dụng các biện pháp dưới đây để bảo vệ chống lại các mối đe dọa này:

- Cô lập các hệ thống OT và ICS khỏi mạng Internet public và hạn chế truy cập từ xa.

- Sử dụng mật khẩu mạnh duy nhất cho tất cả tài khoản và hệ thống trực tuyến, thay đổi tất cả mật khẩu tài khoản mặc định.

- Bật xác thực đa yếu tố (MFA) cho các hệ thống và nền tảng xác thực quan trọng.

- Cài đặt tất cả các bản cập nhật phần mềm, đặc biệt là trên các hệ thống kết nối Internet để khắc phục các lỗ hổng đã biết.

- Giám sát, theo dõi lưu lượng mạng và máy chủ để phát hiện hoạt động bất thường.

- Phát triển và thử nghiệm các kế hoạch ứng phó sự cố.