Cơ quan kiểm soát hệ thống mạng (CISA) cho biết, không có dấu hiệu nào cho thấy một chiến dịch tấn công mạng đang diễn ra nhưng kêu gọi các tổ chức cơ sở hạ tầng quan trọng và các mục tiêu tiềm năng khác theo dõi khả năng phòng thủ của mình do tình hình bất ổn hiện tại ở Trung Đông và các cuộc tấn công mạng trước đây có liên quan đến Iran.

Trong một thông báo chung, các cơ quan an ninh mạng cảnh báo rằng, các công ty thuộc ngành công nghiệp quốc phòng (DIB) của Mỹ có quan hệ đối tác với các công ty cũng hoạt động trong lĩnh vực quốc phòng và nghiên cứu của Israel là có nguy cơ bị nhắm mục tiêu cao hơn. Các tổ chức khác trong các lĩnh vực cơ sở hạ tầng quan trọng, bao gồm năng lượng, nước và chăm sóc sức khỏe, cũng được coi là các mục tiêu tiềm tàng.

Thông báo chung cũng cảnh báo rằng, các tác nhân đe dọa của Iran được cho là đã biết cách khai thác các lỗ hổng chưa được vá hoặc sử dụng mật khẩu mặc định để chiếm được các hệ thống vi phạm. Điều tương tự đã xảy ra ​​vào năm ngoái khi các tác nhân đe dọa của Iran có liên hệ với tổ chức vệ binh cách mạng Hồi giáo Iran (IRGC) và xâm phạm một cơ sở cấp nước của Pennsylvania vào tháng 11/2023 bằng cách tấn công vào các bộ điều khiển logic lập trình (PLC) của công ty Unitronics bị lộ trực tuyến.

Tin tặc có liên hệ với các tổ chức Iran cũng làm việc hoặc hành động như những kẻ tấn công, thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS) hoặc làm hỏng trang web. Các cuộc tấn công này thường được thực hiện kết hợp với các thông điệp có động cơ chính trị, với những kẻ tấn công quảng bá hoạt động của chúng trên mạng xã hội X và nền tảng Telegram.

Các tác nhân đe dọa Iran cũng đã được phát hiện sử dụng phần mềm tống tiền hoặc làm việc như những tin tặc liên kết với các băng nhóm phần mềm tống tiền của Nga, chẳng hạn như NoEscape, Ransomhouse và ALPHV (còn được gọi là BlackCat). Nhiều cuộc tấn công trong số này tập trung vào các công ty Israel, nơi chúng mã hóa các thiết bị và làm rò rỉ dữ liệu bị đánh cắp.

Trong một số trường hợp, những kẻ tấn công đã sử dụng trình xóa dữ liệu thay vì phần mềm tống tiền để thực hiện các cuộc tấn công phá hoại vào các tổ chức.

Giảm thiểu các cuộc tấn công

CISA, DoD, FBI và NSA đang thúc giục các tổ chức tại Mỹ áp dụng các biện pháp tốt nhất sau đây để bảo vệ chống lại các mối đe dọa này:

Cách ly các hệ thống gồm phần cứng và phần mềm giám sát và kiểm soát hiệu suất hoạt động của các thiết bị vật lý (OT) và hệ thống kiểm soát nội bộ (ICS) khỏi mạng Internet công cộng, đồng thời hạn chế truy cập từ xa.

Sử dụng mật khẩu mạnh cho tất cả các tài khoản và hệ thống trực tuyến, thay đổi tất cả mật khẩu tài khoản mặc định.

Bật chế độ xác thực đa yếu tố (MFA) cho các hệ thống và nền tảng xác thực quan trọng.

Cài đặt tất cả các bản cập nhật phần mềm, đặc biệt là trên các hệ thống kết nối Internet để khắc phục các lỗ hổng đã biết.

Giám sát mạng và máy chủ để phát hiện hoạt động bất thường.

Phát triển và thử nghiệm các kế hoạch ứng phó sự cố để đảm bảo rằng tất cả các kế hoạch sao lưu và khôi phục đều hoạt động.

Hà Linh