Năm 2024 chứng kiến nhiều chiến dịch mạng do nhà nước tài trợ bởi các tác nhân chính như Trung Quốc, Nga, Iran và Triều Tiên. Từ việc cố gắng phá vỡ các quy trình dân chủ ở Hoa Kỳ đến việc làm suy yếu các sự kiện quốc tế như Thế vận hội, các nhóm APT (Advanced Persistent Threat) đã chứng minh khả năng thao túng các câu chuyện, xâm nhập cơ sở hạ tầng quan trọng và đánh cắp thông tin nhạy cảm.

Đáng chú ý, ranh giới từng rõ ràng giữa tội phạm mạng và hoạt động do nhà nước tài trợ đã trở nên mờ nhạt hơn. Trong quá khứ, tội phạm mạng chủ yếu được thúc đẩy bởi lợi nhuận, trong khi các tác nhân được chính phủ hậu thuẫn tập trung vào gián điệp mạng và các cuộc tấn công chiến lược. Tuy nhiên, ngày càng có sự hội tụ giữa các nhóm này và phương pháp của họ. Ví dụ, các chiến dịch mã độc tống tiền, theo truyền thống là lĩnh vực của tội phạm mạng, hiện đang được các tác nhân nhà nước quốc gia sử dụng để tài trợ cho các mục tiêu địa chính trị hoặc làm vỏ bọc cho hoạt động gián điệp.

Các sự kiện lớn kích hoạt các chiến dịch mạng do nhà nước hậu thuẫn

Bầu cử Hoa Kỳ

• Các tác nhân do nhà nước Iran tài trợ đã nhắm mục tiêu vào chiến dịch tái tranh cử của Donald Trump bắt đầu từ tháng 5 năm 2024, nhằm mục đích làm suy yếu niềm tin vào quy trình bầu cử và tạo ra sự chia rẽ trong xã hội Mỹ. Các cuộc tấn công spear-phishing đã xâm phạm tài khoản email của nhân viên chiến dịch Trump, một nhà tư vấn và một luật sư. Các thông tin liên lạc nội bộ và hồ sơ nghiên cứu về ứng cử viên phó tổng thống JD Vance đã bị đánh cắp và chia sẻ với chiến dịch Biden-Harris.17
• Một nhóm tin tặc bị nghi ngờ của Trung Quốc, Salt Typhoon, đã nhắm mục tiêu vào các nhân vật chính trị nổi bật của Hoa Kỳ để thực hiện hoạt động gián điệp trong cuộc bầu cử tháng 11 năm 2024, bao gồm Trump và Vance. Nhóm này đã khai thác các lỗ hổng trong các nhà cung cấp viễn thông của Hoa Kỳ như Verizon và AT&T để xâm phạm cơ sở hạ tầng thông tin liên lạc.18
• Chiến dịch thông tin sai lệch Doppelganger của Nga, được phơi bày vào tháng 9 năm 2024, đã nhắm mục tiêu vào giới truyền thông và dư luận Hoa Kỳ để gây ảnh hưởng đến quá trình bầu cử. Chiến dịch này đã sử dụng 32 tên miền giả mạo để mạo danh các hãng truyền thông Hoa Kỳ và lan truyền các câu chuyện phù hợp với Điện Kremlin. Hai nhân viên của Russia Today đã tạo điều kiện rửa gần 10 triệu USD để tài trợ cho các hoạt động này.19
• Các nỗ lực thông tin sai lệch của Nga, Chiến dịch Overload, đã chuyển trọng tâm sang cuộc bầu cử tổng thống Hoa Kỳ vào tháng 9 năm 2024. Kẻ tấn công đã phổ biến các câu chuyện bịa đặt thông qua email hàng loạt, phương tiện truyền thông bị chỉnh sửa và các nền tảng truyền thông xã hội, nhắm mục tiêu vào Phó Tổng thống Kamala Harris với những tuyên bố sai sự thật để làm hoen ố danh tiếng của bà.

Bầu cử Đài Loan

• Các tác nhân mạng của Trung Quốc nhằm mục đích gây ảnh hưởng đến quá trình bầu cử và phá vỡ cơ sở hạ tầng quan trọng, nhắm mục tiêu vào các lĩnh vực viễn thông, giao thông vận tải và quốc phòng. Chính phủ Đài Loan báo cáo trung bình 2,4 triệu cuộc tấn công mạng mỗi ngày vào năm 2024, với sự gia tăng đáng kể được quan sát thấy 24 giờ trước cuộc bầu cử.21

Bầu cử Ấn Độ

• Transparent Tribe, một nhóm đe dọa bị nghi ngờ có trụ sở tại Pakistan, có liên quan đến một chiến dịch nhắm mục tiêu vào các bộ chính phủ Ấn Độ vào ngày 2 tháng 2 năm 2024, trùng với cuộc bầu cử tổng thống Ấn Độ. Nhóm này đã tiến hành một cuộc tấn công lừa đảo bằng cách sử dụng một tài liệu độc hại có tiêu đề “Đề xuất trao giải thưởng của Tổng thống.docm”, có khả năng liên quan đến các hoạt động liên quan đến bầu cử. Tài liệu này chứa một tập lệnh nhúng được thực thi khi mở, triển khai CrimsonRAT, có khả năng đánh cắp thông tin nhạy cảm.

Thế vận hội Paris

• Các nhóm liên kết với Nga Storm-1679 và Storm-1099 đã tiến hành các hoạt động ảnh hưởng nhắm mục tiêu vào Thế vận hội Paris, Pháp và Ủy ban Olympic Quốc tế vào tháng 6 năm 2024, nhằm mục đích làm mất uy tín của ủy ban, ngăn cản công chúng tham dự và gây bất ổn cho hình ảnh toàn cầu của Pháp. Các tác nhân đã phát hành các bộ phim tài liệu giả mạo (phần tiếp theo của “Olympics Has Fallen” từ tháng 7 năm 2023, có tên là “Olympics Has Fallen 2: The End of Bach”). Họ cũng tạo ra các video giả mạo, bao gồm một video miêu tả sai sự thật nữ diễn viên Lea Thompson chúc mừng Đệ nhất phu nhân Pháp Brigitte Macron. Nội dung này được phổ biến thông qua Telegram và mạng xã hội.22

Những điểm nổi bật này nhấn mạnh sự giao thoa giữa hoạt động APT và các sự kiện chính trị hoặc toàn cầu lớn, với các chiến dịch thông tin sai lệch và gián điệp mạng là các chủ đề thống trị.

Những thông tin chi tiết năm 2024 của KELA: Tập trung vào các nhóm APT tại Trung Quốc và Triều Tiên

APT10 sống lại từ cõi chết

Sau hai năm im lặng, APT10 do nhà nước Trung Quốc tài trợ đã trở lại với chiến dịch “Cuckoo Spear”. KELA đã quan sát thấy các TTP tiên tiến bao gồm chiến lược cửa hậu kép (NOOPDOOR và LODEINFO), sự duy trì lén lút thông qua đăng ký sự kiện Windows Management Instrumentation và các dịch vụ Windows độc hại, các phương pháp truy cập ban đầu đa dạng và thời gian lưu trú kéo dài, nhiều năm. Bộ công cụ và chiến thuật phát triển của họ đánh dấu sự leo thang đáng kể về độ phức tạp và khả năng tàng hình hoạt động.

Cuộc tấn công bộ định tuyến mới của Trung Quốc

Các nhóm được nhà nước Trung Quốc hậu thuẫn, bao gồm Volt Typhoon, APT40 và Flax Typhoon, đã chuyển sang tấn công bộ định tuyến gia đình và doanh nghiệp nhỏ trên quy mô lớn. Bằng cách khai thác các lỗ hổng firmware, tận dụng các lỗ hổng zero-day và xâm nhập các thiết bị lỗi thời, họ đã tạo ra các chỗ đứng kiên cố trong các mạng trước đây bị bỏ qua. Sự thay đổi này báo hiệu một mối đe dọa đang rình rập: sự xâm nhập bí mật, trên diện rộng vào cơ sở hạ tầng quan trọng thông qua các bộ định tuyến được sử dụng phổ biến, dễ bị xâm phạm.

Triều Tiên chuyển sang gián điệp kinh tế

Các nhóm Triều Tiên Kimsuky và Andariel đã nhắm mục tiêu vào các lĩnh vực xây dựng và kỹ thuật của Hàn Quốc, chuyển từ gián điệp chính trị và quân sự truyền thống sang đánh cắp dữ liệu công nghiệp phù hợp với các mục tiêu hiện đại hóa kinh tế của Bình Nhưỡng. KELA phát hiện ra rằng bằng cách sử dụng phần mềm độc hại lén lút được ký bằng chứng chỉ bị đánh cắp và triển khai thông qua các trang web ngành công nghiệp đáng tin cậy, các nhóm này trích xuất thông tin kỹ thuật nhạy cảm như chứng chỉ và thiết kế kỹ thuật, đồng thời sử dụng các kỹ thuật trốn tránh tiên tiến, phần mềm độc hại không tệp và các kỹ thuật dọn dẹp tiên tiến. Chiến dịch này làm nổi bật ưu tiên đang phát triển của Triều Tiên về lợi ích kinh tế và kỹ năng mạng ngày càng tinh vi.

Dự đoán năm 2025 của KELA: Sự pha trộn giữa tội phạm mạng và nhà nước các quốc gia

Hướng tới năm 2025, sự hội tụ giữa tội phạm mạng và các hoạt động do nhà nước tài trợ dự kiến sẽ ảnh hưởng đến bối cảnh mối đe dọa mạng toàn cầu. Các tác nhân nhà nước quốc gia ngày càng áp dụng các kỹ thuật theo truyền thống liên quan đến tội phạm mạng, chẳng hạn như mã độc tống tiền và tống tiền tài chính, làm mờ ranh giới giữa gián điệp và động cơ thúc đẩy lợi nhuận. Ngoài ra, các nhóm APT có thể ngày càng ngụy trang các hoạt động của họ như các hoạt động của các nhóm tin tặc hoạt động chính trị độc lập, tiến hành các hoạt động với khả năng phủ nhận hợp lý. Sự kết hợp các chiến thuật này tạo ra những thách thức đáng kể cho việc quy trách nhiệm và phản ứng.

Hơn nữa, sự gia tăng của các công cụ AI có khả năng khuếch đại độ tinh vi và phạm vi tiếp cận của các chiến dịch thông tin sai lệch, cho phép kẻ thù tạo ra nội dung do AI tạo ra có tính thuyết phục cao nhằm gây ảnh hưởng đến dư luận, phá vỡ bầu cử và làm suy yếu các thể chế dân chủ.

Vào năm 2025, một số sự kiện toàn cầu lớn dự kiến sẽ kích hoạt các hoạt động mạng do nhà nước tài trợ gia tăng. Các quá trình chuyển đổi chính trị, chẳng hạn như lễ nhậm chức tổng thống Hoa Kỳ và các cuộc bầu cử quan trọng ở Đức, Canada và các quốc gia khác, tạo cơ hội cho sự can thiệp nhằm gây ảnh hưởng đến kết quả hoặc gây bất ổn cho chính phủ. Các cuộc tụ họp quốc tế cấp cao, bao gồm Hội nghị thượng đỉnh G20 ở Nam Phi và World Expo 2025 ở Osaka, Nhật Bản, có thể thu hút hoạt động gián điệp mạng để thu thập thông tin chi tiết về các chiến lược ngoại giao hoặc kinh tế. Ngoài ra, các sự kiện thể thao lớn như FIFA Club World Cup và UEFA Women’s Euro có khả năng là mục tiêu của các chiến dịch phá hoại và thông tin sai lệch.

Biện pháp đối phó

• Tăng cường khả năng quy trách nhiệm: Đầu tư vào các công cụ phân tích hành vi và tình báo về mối đe dọa nâng cao để cải thiện khả năng quy trách nhiệm và phân biệt giữa các tác nhân do nhà nước tài trợ và tội phạm mạng.
• Giám sát mã độc tống tiền giống gián điệp: Phân tích các cuộc tấn công mã độc tống tiền để tìm các dấu hiệu gián điệp, chẳng hạn như nhắm mục tiêu dữ liệu bất thường hoặc phù hợp với động cơ địa chính trị, để xác định sự tham gia tiềm ẩn của nhà nước.
• Tăng cường phối hợp phản ứng sự cố: Phát triển các cơ chế hợp tác mạnh mẽ với các cơ quan thực thi pháp luật, cơ quan chính phủ và các đồng nghiệp trong ngành để phản ứng nhanh chóng với các mối đe dọa mạng hỗn hợp, phức tạp.
• Phát hiện và chống lại thông tin sai lệch: Tận dụng các công cụ phát hiện dựa trên AI để xác định và vạch trần các chiến dịch thông tin sai lệch do AI tạo ra nhắm mục tiêu vào tổ chức của bạn hoặc niềm tin của công chúng.
• Bảo mật các kênh liên lạc: Bảo vệ các kênh liên lạc của tổ chức chống lại hành vi giả mạo và thao túng bằng cách áp dụng các nền tảng nhắn tin an toàn với mã hóa đầu cuối.
• Tiến hành các chiến dịch nâng cao nhận thức cộng đồng: Giáo dục các bên liên quan và nhân viên về rủi ro thông tin sai lệch, đặc biệt là trong các giai đoạn quan trọng như bầu cử hoặc các sự kiện lớn.

Chi tiết bài viết báo cáo bằng Tiếng Anh tại đây.

Thông tin hãng cung cấp giải pháp