Cục Tình báo Quốc phòng Ukraine (HUR) vừa tiến hành một chiến dịch tấn công mạng táo bạo, phối hợp với các nhóm tin tặc độc lập, nhằm vào Haskar Integration – nhà sản xuất UAV quân sự hàng đầu của Nga. Chiến dịch này đã gây ra sự cố nghiêm trọng, làm tê liệt hoàn toàn hệ thống sản xuất và xóa nhiều dữ liệu quan trọng của công ty.

Cuộc tấn công đã xâm nhập thành công vào hệ thống mạng và máy chủ của Haskar Integration, một trong những nhà thầu quân sự chủ chốt của Nga trong lĩnh vực sản xuất UAV. Các chuyên gia Ukraine đã thực hiện việc truy cập và xóa toàn bộ dữ liệu trên máy chủ, bao gồm hơn 47TB dữ liệu kỹ thuật và 10TB bản sao lưu. Hệ thống điều hành, kế toán và truy cập internet của công ty bị vô hiệu hóa hoàn toàn, gây ra sự gián đoạn nghiêm trọng trong hoạt động sản xuất và kinh doanh của công ty.

Một trong những chi tiết đáng chú ý của cuộc tấn công là toàn bộ cửa của nhà máy bị khóa từ xa, buộc nhân viên phải sơ tán qua lối thoát hiểm khẩn cấp. Điều này cho thấy mức độ nghiêm trọng và sự chuẩn bị kỹ lưỡng của các chuyên gia Ukraine trong chiến dịch này.

Trong số dữ liệu bị đánh cắp, có nhiều hồ sơ nhân sự mật và toàn bộ tài liệu thiết kế, quy trình sản xuất UAV, hiện đã được chuyển giao cho các chuyên gia quốc phòng Ukraine. Thông tin này có thể giúp Ukraine hiểu rõ hơn về công nghệ và năng lực sản xuất UAV của Nga, từ đó có thể đề xuất các biện pháp đối phó hiệu quả.

Cuộc tấn công này được xem là một trong những chiến dịch mạng quy mô lớn và gây thiệt hại nghiêm trọng nhất kể từ đầu cuộc xung đột giữa Ukraine và Nga. Nó cho thấy khả năng tấn công mạng của Ukraine ngày càng cao và sự quyết tâm của họ trong việc gây thiệt hại cho đối thủ.

Nguồn RBC-Ukraine

Một cuộc điều tra an ninh mạng gần đây đã tiết lộ những mối liên hệ đáng lo ngại giữa nhóm tin tặc APT39, được cho là có sự hậu thuẫn của chính quyền Iran, và công ty an ninh mạng Amnban. Sự việc này không chỉ dẫn đến việc rò rỉ hàng gigabyte dữ liệu nhạy cảm mà còn phanh phui hoạt động gián điệp mạng có tổ chức, đe dọa đến an toàn hàng không và bảo mật cá nhân trên toàn cầu.

Công ty Amnban được thành lập vào năm 2018 với sự hậu thuẫn của các cựu sinh viên Đại học Sharif và Đại học Amir Kabir, ban đầu quảng bá là đơn vị chuyên về thử nghiệm xâm nhập và tư vấn bảo mật hợp pháp. Tuy nhiên, dữ liệu bị rò rỉ gần đây đã cho thấy một bức tranh hoàn toàn khác: công ty này bị cáo buộc là vỏ bọc cho nhóm APT39 (còn gọi là Chafer), chuyên thu thập thông tin tình báo mạng cho Bộ Tình báo Iran (MOIS).

Các tài liệu bị đánh cắp cho thấy Amnban không chỉ bị xâm nhập mà còn trực tiếp vận hành các chiến dịch thu thập dữ liệu nhạy cảm như hộ chiếu, địa chỉ, ảnh chân dung và thông tin liên hệ của hàng triệu hành khách hàng không trên toàn thế giới. Những dữ liệu này có thể bị sử dụng để theo dõi, đánh cắp danh tính, thậm chí phục vụ mục đích vi phạm nhân quyền.

Một số nhân vật chủ chốt của công ty Amnban đã bị nêu tên, bao gồm CEO Behnam Amiri, người từng bị tình báo quốc tế cảnh báo, và Ali Kamali, hacker từng bị FBI trừng phạt vì các cuộc tấn công vào cơ sở hạ tầng của Mỹ. Ngoài ra, đặc vụ Hamed Mashayekhi của MOIS cũng được cho là thường xuyên lui tới trụ sở Amnban.

Từ các hãng hàng không đến sàn tiền số: Mục tiêu toàn cầu. Dưới danh nghĩa đào tạo OSINT (tình báo nguồn mở), Amnban đã tiến hành do thám hàng loạt hãng hàng không như Emirates, Qatar Airways, Turkish Airlines, Etihad, Kenya Airways… cùng các công ty vận chuyển lớn như FedEx, DHL, USPS, và cả các thực thể của Nga.

Dữ liệu cho thấy các chiến dịch có quy mô lớn, có tổ chức và nhắm đến cả đồng minh lẫn đối thủ của Iran. Không dừng lại ở đó, nhóm còn nhắm đến sàn giao dịch tiền số như KuCoin, Binance, CoinSwitch… bằng cách sử dụng kỹ thuật xã hội tinh vi như tạo hồ sơ giả trên LinkedIn để lừa đảo nhân viên, dụ họ cài mã độc, hoặc thu thập thông tin hệ thống qua các liên kết theo dõi.

Hạ tầng hỗ trợ chiến dịch này bao gồm hàng trăm máy chủ ảo và hệ thống gửi email giả mạo được phân bố toàn cầu, cho phép vận hành liên tục các hoạt động lừa đảo, đánh cắp dữ liệu, kiểm soát từ xa, đe dọa nghiêm trọng đến an ninh hàng không và mạng lưới tài chính quốc tế.

Sự cố này là lời cảnh báo mạnh mẽ về rủi ro đến từ các hoạt động gián điệp mạng do nhà nước tài trợ. Các tổ chức hàng không, công nghệ và tài chính cần khẩn cấp đánh giá lại hệ thống bảo mật, trong khi cộng đồng quốc tế cần phối hợp hành động để đối phó với những mối đe dọa có tổ chức như APT39.