Trong thế giới an ninh mạng, ranh giới giữa tội phạm tài chính và gián điệp nhà nước đang ngày càng trở nên mờ nhạt. Gần đây, nhóm tin tặc MuddyWater (còn được biết đến với các tên gọi như Mango Sandstorm hay Seedworm) – một nhóm hacker được cho là do nhà nước Iran bảo trợ – đã thực hiện một chiến dịch tấn công đầy tinh vi. Điều đáng nói là họ không chỉ tấn công trực diện mà còn sử dụng chiến thuật "cờ giả" (false flag) để ngụy trang hành vi gián điệp dưới danh nghĩa một nhóm mã độc tống tiền (ransomware) thông thường.
Vụ tấn công này được hãng bảo mật Rapid7 ghi nhận vào đầu năm 2026, cho thấy sự thay đổi đáng kể trong tư duy và công cụ của các nhóm APT (tấn công có chủ đích). Thay vì sử dụng các mã độc tự chế dễ bị nhận diện, họ đã tận dụng nền tảng giao tiếp phổ biến Microsoft Teams để xâm nhập vào các tổ chức.
Chiến thuật "Cờ giả": Khi gián điệp núp bóng tống tiền
Kỹ thuật "cờ giả" là phương pháp mà kẻ tấn công cố tình để lại các dấu vết khiến nhà điều tra tin rằng thủ phạm là một bên khác. Trong trường hợp này, MuddyWater đã giả mạo nhóm ransomware Chaos – một nhóm cung cấp dịch vụ mã độc tống tiền (RaaS) khá phổ biến trong thế giới ngầm.
Mục đích của việc này rất rõ ràng:
- Đánh lạc hướng điều tra: Khi thấy dấu hiệu của ransomware, các đội phản ứng thường tập trung vào việc khôi phục dữ liệu và ngăn chặn mã hóa thay vì tìm kiếm các công cụ gián điệp nằm vùng.
- Che đậy mục tiêu chính trị: Việc tống tiền khiến vụ việc trông giống như một vụ án hình sự vì tiền, thay vì một chiến dịch thu thập tình báo của chính phủ.
"Chiến dịch này đặc trưng bởi giai đoạn kỹ thuật xã hội cường độ cao qua Microsoft Teams, nơi kẻ tấn công sử dụng tính năng chia sẻ màn hình để thu thập thông tin đăng nhập và thao túng xác thực đa yếu tố (MFA)." - Báo cáo từ Rapid7.
Quy trình tấn công tinh vi qua Microsoft Teams
Không giống như các vụ tấn công tự động, MuddyWater thực hiện một quy trình tương tác trực tiếp với nạn nhân. Điều này đòi hỏi sự kiên nhẫn và kỹ năng giao tiếp khéo léo để đánh lừa người dùng.
- Bước 1: Tiếp cận qua tin nhắn rác. Kẻ tấn công gửi yêu cầu chat từ bên ngoài qua Teams, thường mạo danh nhân viên hỗ trợ CNTT của công ty.
- Bước 2: Thao túng tâm lý (Social Engineering). Chúng thuyết phục nhân viên cài đặt các công cụ hỗ trợ từ xa như Microsoft Quick Assist hoặc AnyDesk để "sửa lỗi hệ thống".
- Bước 3: Chiếm quyền kiểm soát. Khi đã được chia sẻ màn hình, chúng hướng dẫn người dùng nhập thông tin đăng nhập vào các tệp văn bản cục bộ hoặc thao túng các thông báo MFA để vượt qua lớp bảo mật cuối cùng.
- Bước 4: Thiết lập sự hiện diện lâu dài. Thay vì mã hóa tệp ngay lập tức như các nhóm ransomware thực thụ, MuddyWater âm thầm cài đặt các công cụ quản lý từ xa như DWAgent để duy trì quyền truy cập bí mật trong thời gian dài.
Sự hội tụ giữa hacker nhà nước và tội phạm mạng
Một điểm đáng chú ý trong chiến dịch lần này là việc MuddyWater sử dụng các công cụ "có sẵn" (off-the-shelf) thay vì mã độc tùy biến.
| Đặc điểm | Ransomware thông thường | Chiến dịch của MuddyWater |
|---|---|---|
| Mục tiêu chính | Tài chính (Tiền chuộc) | Gián điệp và thu thập dữ liệu |
| Hành vi dữ liệu | Mã hóa tệp tin | Đánh cắp dữ liệu (Exfiltration) |
| Sự hiện diện | Ngắn hạn (Phát hiện ngay) | Dài hạn (Âm thầm nằm vùng) |
| Công cụ | Mã độc tống tiền chuyên dụng | Công cụ quản trị từ xa hợp pháp |
Mặc dù có để lại các thông điệp đòi tiền chuộc nhằm duy trì "vở kịch", nhưng phân tích kỹ thuật cho thấy hành vi cốt lõi của chúng là truy cập cấu hình VPN và thu thập hồ sơ người dùng – những thông tin cực kỳ giá trị cho các hoạt động gián điệp tiếp theo.
Mối liên hệ mật thiết giữa không gian mạng và thực địa
Sự nguy hiểm của các nhóm như MuddyWater không chỉ dừng lại ở việc đánh cắp dữ liệu. Theo các chuyên gia từ Check Point, những dữ liệu về hạ tầng cảng biển bị đánh cắp trong các chiến dịch tương tự đã được sử dụng để hỗ trợ việc định vị mục tiêu cho tên lửa trong các cuộc xung đột thực tế.
Cách bảo vệ doanh nghiệp trước các cuộc tấn công qua Teams
- Kiểm soát quyền truy cập Teams: Cấu hình chính sách để hạn chế hoặc gắn cờ các yêu cầu chat từ các tài khoản bên ngoài tổ chức.
- Đào tạo nhân viên: Nâng cao nhận thức về việc không bao giờ chia sẻ màn hình hoặc cấp quyền truy cập từ xa cho người lạ.
- Giám sát các công cụ từ xa: Theo dõi việc sử dụng các phần mềm như AnyDesk, DWAgent trong hệ thống.
- Xác thực đa yếu tố (MFA) an toàn hơn: Chuyển sang sử dụng khóa bảo mật vật lý hoặc ứng dụng tạo mã (Authenticator).
Vụ tấn công của MuddyWater là minh chứng cho thấy kẻ tấn công luôn tìm ra những kẽ hở mới ngay trong những công cụ mà chúng ta tin dùng hàng ngày. Đừng để hệ thống của bạn trở thành một quân cờ trong trò chơi chính trị toàn cầu. Hãy hành động ngay để bảo vệ tài sản số của doanh nghiệp!



0 Comment
Add your comment to this article