Tấn công mạng toàn cầu: Rủi ro an toàn thông tin nghiêm trọng

Vào ngày 28 tháng 02 năm 2026, một liên minh các quốc gia đã phát động một chiến dịch phối hợp, mở màn cho một cuộc tấn công mạng quy mô lớn lan rộng khắp Trung Đông và các khu vực khác. Sự kiện này nhanh chóng leo thang thành một trong những cuộc đối đầu trên không gian mạng căng thẳng nhất trong lịch sử gần đây, phơi bày những rủi ro an toàn thông tin nghiêm trọng trên toàn cầu.

Trong vòng vài giờ sau các đợt tấn công ban đầu, một quốc gia trong khu vực đã triển khai một chiến dịch trả đũa đa hướng. Chiến dịch này có sự tham gia của các nhóm hacktivist, các tác nhân liên kết với nhà nước và tội phạm mạng cơ hội.

Một trong những diễn biến đáng chú ý nhất là sự gián đoạn gần như hoàn toàn quyền truy cập internet của quốc gia nói trên. Đến sáng ngày 28 tháng 02, khả năng kết nối bên trong quốc gia này đã giảm xuống chỉ còn từ 1% đến 4%.

Sự gián đoạn đột ngột này đã cắt đứt các đơn vị tác chiến mạng được hậu thuẫn bởi chính phủ khỏi mạng lưới chỉ huy và kiểm soát của chúng. Điều này đã làm suy yếu nghiêm trọng khả năng phối hợp và thực hiện các tấn công mạng tinh vi trong thời gian ngắn.

Kể từ đó, các nhóm tác chiến mạng của quốc gia này đã chuyển sang trạng thái cô lập hoạt động. Tình trạng này có thể dẫn đến những thay đổi không thể đoán trước trong các mô hình tấn công đã được thiết lập của chúng.

Phân Tích Diễn Biến và Mối Đe Dọa Mạng Chủ Yếu

Chiến Dịch Lừa Đảo Phishing và Mã Độc Di Động

Các nhà phân tích của Palo Alto Networks’ Unit 42 đã nhanh chóng xác định một chiến dịch lừa đảo (phishing) đang hoạt động ngay sau khi cuộc tấn công ban đầu diễn ra. Trong chiến dịch này, các tác nhân đã triển khai một ứng dụng cảnh báo khẩn cấp giả mạo, nhái theo ứng dụng “RedAlert” của một quốc gia trong khu vực.

Ứng dụng độc hại này được phân phối dưới dạng gói cài đặt Android (APK) thông qua tin nhắn SMS phishing. Mục đích là lừa người dùng tải xuống mã độc phục vụ giám sát di động và đánh cắp dữ liệu.

Các tác nhân đã lợi dụng nỗi sợ hãi của cộng đồng để phát tán mã độc. Chúng ngụy trang mã độc dưới vỏ bọc một công cụ an toàn đáng tin cậy trong bối cảnh xung đột đang diễn ra. Thông tin chi tiết có thể tham khảo tại báo cáo của Unit 42.

Sự Bùng Nổ của Hoạt Động Hacktivist

Mặc dù cơ sở hạ tầng của quốc gia bị ảnh hưởng gặp gián đoạn, hoạt động hacktivist bên ngoài biên giới quốc gia này lại bùng nổ mạnh mẽ. Đến ngày 02 tháng 03 năm 2026, khoảng 60 nhóm riêng lẻ, bao gồm cả các tập thể có xu hướng thân một cường quốc, đã tích cực tham gia vào các hoạt động nhắm mục tiêu vào các tài sản của các quốc gia liên minh, phương Tây và khu vực.

Nhiều nhóm này hoạt động dưới sự điều phối của “Electronic Operations Room”, một trung tâm mới được thành lập vào ngày 28 tháng 02 năm 2026. Các nhóm này đã nhận trách nhiệm về các cuộc tấn công mạng đa dạng:

• Các cuộc tấn công từ chối dịch vụ phân tán (DDoS) nhắm vào các ngân hàng và trang web chính phủ.
• Thỏa hiệp hoàn toàn cơ sở hạ tầng ảnh hưởng đến hệ thống năng lượng, thanh toán và quốc phòng.

Mở Rộng Phạm Vi Tấn Công Mạng

Phạm vi của cuộc xung đột đã mở rộng vượt ra ngoài biên giới quốc gia liên kết. Tội phạm mạng ở các quốc gia khác trong khu vực đã phát động các chiến dịch lừa đảo bằng giọng nói (vishing).

Những kẻ tấn công mạo danh Bộ Nội vụ để đánh cắp số nhận dạng quốc gia. Sự lan rộng này cho thấy mối đe dọa mạng không chỉ giới hạn ở một khu vực địa lý cụ thể.

Nhóm ransomware-as-a-service có tên Tarnished Scorpius (còn được biết đến là INC Ransomware) đã liệt kê một công ty máy móc công nghiệp của một quốc gia trong khu vực trên trang rò rỉ dữ liệu của chúng.

Chúng thậm chí đã thay thế logo công ty bằng biểu tượng gây thù địch. Tốc độ và quy mô của các cuộc tấn công mạng này phản ánh một cuộc xung đột đã vượt xa động thái giữa các quốc gia, trở thành một cuộc chiến tranh mạng đa tác nhân.

Các Tác Nhân Chính và Phương Thức Tấn Công Nổi Bật

“Electronic Operations Room” đã trở thành trung tâm điều phối chính cho các hoạt động hacktivist được một quốc gia hậu thuẫn kể từ khi xung đột bắt đầu. Đây là nơi tập hợp nhiều nhóm khác nhau để thực hiện các tấn công mạng.

Handala Hack: Từ Gián Đoạn Kỹ Thuật Số đến Đe Dọa Vật Lý

Handala Hack, một cá nhân hoặc nhóm được liên kết với một cơ quan tình báo của quốc gia liên kết, đã nổi lên như tác nhân tích cực nhất. Nhóm này đã nhận trách nhiệm cho nhiều vụ xâm phạm nghiêm trọng:

• Xâm nhập một công ty thăm dò năng lượng của một quốc gia trong khu vực.
• Thỏa hiệp các hệ thống nhiên liệu của một quốc gia lân cận.
• Đe dọa các cá nhân có ảnh hưởng trong cộng đồng người gốc quốc gia liên kết ở nước ngoài, thậm chí chia sẻ địa chỉ nhà của họ với các đặc vụ vật lý.

Việc chuyển từ gây gián đoạn kỹ thuật số sang đe dọa vật lý đánh dấu một sự leo thang nguy hiểm trong hành vi của các hacktivist. Điều này tạo ra một tiền lệ đáng báo động cho an ninh mạng.

Cyber Islamic Resistance và Các Nhóm Liên Kết

Các tác nhân khác bao gồm Cyber Islamic Resistance, một tập thể chung điều phối các nhóm như RipperSec và Cyb3rDrag0nzz. Nhóm này đã tuyên bố đã thỏa hiệp một hệ thống phòng thủ máy bay không người lái và cơ sở hạ tầng thanh toán của một quốc gia trong khu vực.

Các Nhóm Hacktivist Khác

• FAD Team đã báo cáo truy cập trái phép vào nhiều hệ thống SCADA và PLC trong một quốc gia trong khu vực.
• DieNet đã nhắm mục tiêu vào các sân bay và ngân hàng trên khắp các quốc gia ở Trung Đông.
• Các nhóm có xu hướng thân một cường quốc như NoName057(16) và “Russian Legion” cũng tham gia vào cuộc xung đột. “Russian Legion” thậm chí đã tuyên bố truy cập vào hệ thống radar Iron Dome của một quốc gia trong khu vực, mặc dù những tuyên bố này vẫn chưa được xác minh.

Các Chỉ Số Thỏa Hiệp (IOCs) Đáng Chú Ý

Dưới đây là tổng hợp các chỉ số thỏa hiệp (Indicators of Compromise – IOCs) và các tác nhân chính được xác định trong chuỗi tấn công mạng này:

• Mã độc di động: Bản sao độc hại của ứng dụng “RedAlert” được phân phối qua SMS phishing.
• Nhóm Ransomware: Tarnished Scorpius (còn gọi là INC Ransomware).
• Nhóm/Persona Hacktivist:
  • Handala Hack
  • Cyber Islamic Resistance (nhóm mẹ)
  • RipperSec (nhóm con của Cyber Islamic Resistance)
  • Cyb3rDrag0nzz (nhóm con của Cyber Islamic Resistance)
  • FAD Team
  • DieNet
  • NoName057(16) (nhóm có xu hướng thân một cường quốc)
  • “Russian Legion” (nhóm có xu hướng thân một cường quốc)
• Kỹ thuật tấn công: Phishing qua SMS, vishing, tấn công DDoS, thỏa hiệp cơ sở hạ tầng (SCADA, PLC, hệ thống năng lượng, thanh toán), triển khai ransomware.

Biện Pháp Phòng Ngừa và Ứng Phó Trước Mối Đe Dọa

Để bảo vệ tổ chức khỏi các cuộc tấn công mạng phức tạp và đa chiều như đã mô tả, cần áp dụng một chiến lược phòng thủ nhiều lớp:

• Sao lưu dữ liệu ngoại tuyến: Các tổ chức nên lưu trữ ít nhất một bản sao dữ liệu quan trọng ngoại tuyến để chống lại các cuộc tấn công ransomware và mã độc xóa dữ liệu (wiper). Điều này đảm bảo khả năng phục hồi ngay cả khi hệ thống chính bị xâm phạm.
• Cập nhật và tăng cường bảo mật: Tất cả các tài sản hướng ra internet phải được vá lỗi đầy đủ và tăng cường bảo mật (hardening). Điều này bao gồm việc thường xuyên áp dụng bản vá bảo mật cho hệ điều hành, ứng dụng và thiết bị mạng.
• Đào tạo nhân viên: Nhân viên cần được đào tạo về các chiến thuật lừa đảo (phishing) và kỹ thuật xã hội (social engineering). Nhận thức về các mối đe dọa này là tuyến phòng thủ đầu tiên hiệu quả nhất. Thông tin bổ sung về các chiến thuật kỹ thuật xã hội có thể tham khảo tại đây.
• Chặn IP theo địa lý: Các tổ chức nên xem xét chặn địa chỉ IP theo địa lý đối với các khu vực có rủi ro cao. Biện pháp này giúp giảm thiểu khả năng tiếp cận từ các nguồn không đáng tin cậy.
• Kế hoạch liên tục kinh doanh: Kế hoạch liên tục kinh doanh (Business Continuity Plans) cần được cập nhật thường xuyên. Đồng thời, các quy trình xác minh tuyên bố xâm phạm cần được thiết lập để phản ứng nhanh chóng và chính xác.
• Giám sát hướng dẫn: Liên tục theo dõi các hướng dẫn từ CISA (Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ) và UK National Cyber Security Centre (Trung tâm An ninh mạng Quốc gia Vương quốc Anh) để cập nhật các mối đe dọa và biện pháp phòng vệ mới nhất.