Ảnh minh họa. Cyber Press

Các chiến dịch tinh vi của nhóm Predatory Sparrow được thực hiện với các hoạt động phá hủy dữ liệu có chủ đích và truyền tải thông điệp công khai về khả năng gây ra thiệt hại lớn trên nhiều lĩnh vực khác nhau của cơ sở hạ tầng quốc gia Iran.

Chiến thuật tấn công tinh vi, khả năng phá hoại cao

Hoạt động của nhóm cho thấy mức độ tinh vi ngày càng tăng. Predatory Sparrow từ khi xuất hiện vào năm 2019 đã triển khai chuỗi phần mềm độc hại nhiều tầng, sử dụng các tập lệnh script Windows thuần túy và trình “dropper” (trình cài mã độc trung gian) viết bằng Visual Basic để duy trì dấu vết bền bỉ trên hệ thống bị xâm nhập.

Trong một số vụ tấn công nhằm vào hạ tầng đường sắt, nhóm đã sử dụng mã phá huỷ mang tên “Meteor”, một loại “wiper” (mã độc xóa dữ liệu) được cấu hình chạy theo lịch để kích hoạt đồng loạt, làm tê liệt hệ thống điều hành đường sắt của quốc gia này.

Tổn thất tài chính mà Predatory Sparrow gây ra rất lớn. Tháng 6/2025, nhóm tin tặc nhận trách nhiệm về vụ xâm nhập xóa dữ liệu tại ngân hàng Bank Sepah và tấn công sàn giao dịch tiền số Nobitex, khiến khoảng 90 triệu USD tiền mã hoá bị thất thoát.

Nhóm tấn công còn công bố toàn bộ mã nguồn, tài liệu về cơ sở hạ tầng, tài liệu nghiên cứu và phát triển nội bộ của Nobitex, công khai các lỗ hổng hoạt động quan trọng và tài sản trí tuệ nhạy cảm.

Tấn công mạng phá hủy dữ liệu và khả năng phục hồi

Về thủ đoạn đối phó và che giấu, nhóm này thể hiện khả năng phá hủy bằng chứng rất cao: chủ động tắt phần mềm diệt virus, bổ sung các tệp độc hại vào danh sách loại trừ của Windows Defender - phần mềm diệt virus mặc định của Windows. đảm bảo ngay cả khi Windows Defender được kích hoạt, nó cũng sẽ loại bỏ các chất độc hại, giúp mã độc hoạt động mà không bị cản trở đồng thời xoá nhật ký hệ thống (log) và can thiệp cấu hình khởi động (boot configuration) để ngăn phục hồi.

Nhóm tin tặc cũng xóa các bản sao lưu (volume shadow copy), làm giảm tối đa khả năng khôi phục hệ thống sau tấn công. Những biện pháp này cho thấy mục tiêu đặt ra là phá hủy hoàn toàn dữ liệu, ngăn chặn khả năng phục hồi của nạn nhân.

Predatory Sparrow là minh chứng cho xu hướng ngày càng phổ biến của “cyber-sabotage” (tấn công phá hoại mạng), các chiến dịch không chỉ lấy cắp dữ liệu mà còn hướng tới phá hủy hoàn toàn cơ sở dữ liệu hệ thống và khả năng phục hồi, gây thiệt hại lâu dài trên nhiều lĩnh vực cơ sở hạ tầng quan trọng của quốc gia mục tiêu.

An Lâm (Theo Cyber Press)