Các quan chức Mỹ nghi ngờ tin tặc Iran đứng sau hàng loạt vụ xâm nhập vào các hệ thống giám sát lượng nhiên liệu trong bồn chứa phục vụ các trạm xăng tại nhiều bang, theo nhiều nguồn tin được cập nhật về cuộc điều tra.
Những tin tặc này đã khai thác các hệ thống đo mức bồn chứa tự động (ATG – Automatic Tank Gauge) được kết nối trực tuyến nhưng không được bảo vệ bằng mật khẩu, cho phép chúng trong một số trường hợp can thiệp vào dữ liệu hiển thị của các bồn nhiên liệu, dù không thể thay đổi lượng xăng dầu thực tế bên trong, các nguồn tin cho biết.
Hiện chưa có bằng chứng cho thấy các vụ xâm nhập gây thiệt hại vật lý hoặc thương vong, nhưng chúng vẫn làm dấy lên lo ngại về an toàn bởi việc kiểm soát ATG về mặt lý thuyết có thể cho phép tin tặc khiến các vụ rò rỉ nhiên liệu không bị phát hiện, theo các chuyên gia tư nhân và quan chức Mỹ.
Các nguồn tin được cập nhật về cuộc điều tra cho biết lịch sử nhắm vào các hệ thống bồn chứa nhiên liệu là một trong những lý do khiến Iran trở thành nghi phạm hàng đầu. Tuy nhiên, họ cũng cảnh báo rằng chính phủ Mỹ có thể không bao giờ xác định được chính xác thủ phạm vì tin tặc để lại quá ít dấu vết kỹ thuật số phục vụ điều tra pháp y.
Nếu sự liên quan của Iran được xác nhận, đây sẽ là vụ việc mới nhất cho thấy Tehran đang đe dọa cơ sở hạ tầng trọng yếu trên lãnh thổ Mỹ – nơi vẫn nằm ngoài tầm với của tên lửa và máy bay không người lái Iran – trong bối cảnh chiến tranh Mỹ - Israel với Iran tiếp diễn.
Vụ việc cũng có thể trở thành vấn đề chính trị nhạy cảm đối với chính quyền Donald Trump khi tiếp tục làm nổi bật tình trạng giá nhiên liệu tăng cao do chiến tranh gây ra. Theo một cuộc khảo sát gần đây của CNN, 75% người trưởng thành Mỹ cho biết cuộc chiến với Iran ảnh hưởng tiêu cực tới tài chính của họ.
Chiến dịch tấn công mạng này cũng là lời cảnh báo đối với nhiều đơn vị vận hành cơ sở hạ tầng trọng yếu của Mỹ, vốn gặp khó khăn trong việc bảo vệ hệ thống dù đã nhiều năm được chính phủ liên bang thúc giục tăng cường an ninh.
Các nhóm tin tặc Iran từ lâu đã săn tìm những “mục tiêu dễ ăn” – các hệ thống máy tính trọng yếu của Mỹ kết nối trực tuyến, chẳng hạn các hệ thống liên quan đến dầu khí và nước sạch. Sau vụ Hamas tấn công Israel ngày 7/10/2023, giới chức Mỹ từng cáo buộc các tin tặc có liên hệ với Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC) tiến hành hàng loạt cuộc tấn công vào các công ty cấp nước của Mỹ, hiển thị thông điệp chống Israel trên thiết bị quản lý áp lực nước.
Các nhà nghiên cứu an ninh mạng đã cảnh báo về các hệ thống ATG kết nối Internet suốt hơn một thập kỷ. Năm 2015, công ty bảo mật Trend Micro từng đưa các hệ thống ATG giả lập lên mạng để xem nhóm nào sẽ nhắm mục tiêu vào chúng. Một nhóm thân Iran nhanh chóng xuất hiện.
Một báo cáo năm 2021 của Sky News dẫn tài liệu nội bộ của IRGC cho thấy các hệ thống ATG từng được xác định là mục tiêu tiềm năng cho các cuộc tấn công mạng phá hoại nhằm vào trạm xăng.
Hoạt động mạng của Iran đang “tăng tốc”
Các cơ quan tình báo Mỹ từ lâu đánh giá năng lực tác chiến mạng của Iran thấp hơn Trung Quốc hoặc Nga. Tuy nhiên, hàng loạt vụ tấn công cơ hội nhằm vào các tài sản trọng yếu của Mỹ trong thời chiến cho thấy Iran là đối thủ có năng lực và khó đoán định.
Kể từ khi chiến tranh bùng phát cuối tháng 2, các tin tặc liên quan tới Tehran đã gây gián đoạn tại nhiều cơ sở dầu khí và nước sạch của Mỹ, gây chậm trễ vận chuyển tại hãng thiết bị y tế lớn Stryker, đồng thời làm rò rỉ email cá nhân của Giám đốc FBI Kash Patel.
Các tổ chức và công dân Israel cũng liên tục bị tin tặc Iran nhắm mục tiêu trong cuộc chiến hiện nay, trong khi quân đội Mỹ và Israel sử dụng các chiến dịch mạng nhằm tăng hiệu quả cho các cuộc tấn công quân sự trực tiếp.
Hoạt động mạng của Iran trong chiến tranh cho thấy “sự gia tăng đáng kể về quy mô, tốc độ và mức độ phối hợp giữa các chiến dịch mạng với chiến dịch tâm lý”, ông Yossi Karadi, người đứng đầu Cơ quan Phòng thủ mạng quốc gia Israel, nói với CNN.
Lực lượng Phòng vệ Israel hồi tháng 3 tuyên bố đã tấn công một khu phức hợp được cho là “trụ sở tác chiến mạng” của Iran. Hiện chưa rõ có bao nhiêu nhân sự mạng Iran thiệt mạng trong cuộc tấn công này.
Ông Karadi từ chối bình luận thêm, viện dẫn nhiệm vụ của cơ quan ông chỉ giới hạn trong phòng thủ mạng.
“Tuy nhiên, từ góc độ phòng thủ, trong vài tháng gần đây chúng tôi thấy một số hoạt động mạng thù địch đã suy giảm phần nào,” ông nói. “Điểm mấu chốt là các tác nhân Iran đang chịu áp lực và cố gắng tấn công bất cứ nơi nào họ tìm thấy sơ hở trong không gian mạng.”
Theo bà Allison Wikoff, giám đốc nhóm tình báo đe dọa của PwC và có hơn 10 năm theo dõi các mối đe dọa từ Iran, 18 tháng qua cho thấy các chiến dịch mạng của Tehran “đang tăng tốc với tốc độ thích nghi nhanh hơn, sử dụng nhiều lớp danh tính hacktivist hơn và có thể tận dụng AI để mở rộng hoạt động do thám và lừa đảo”.
“Điểm mới đáng chú ý trong chiến thuật mạng của họ là khả năng nhanh chóng tạo ra các loại mã độc ‘đủ dùng’, bao gồm cả mã độc xóa dữ liệu, kết hợp với các chiến dịch tấn công rồi phát tán dữ liệu nhằm vào truyền thông, người bất đồng chính kiến và cơ sở hạ tầng dân sự trọng yếu của Mỹ,” bà Wikoff nói với CNN.
Một phần trong chiến thuật đó là tận dụng tâm lý thời chiến của truyền thông Mỹ – vốn rất nhanh chóng chú ý tới các tuyên bố từ mọi phía.
Các tin tặc liên quan tới Bộ Tình báo Iran và lực lượng bán quân sự của nước này duy trì nhiều “nhân dạng hacktivist”, dùng Telegram để phóng đại chiến tích, công bố dữ liệu đánh cắp và tung video tuyên truyền ghép nhạc bắt tai.
Một nhóm mang tên Handala – lấy theo nhân vật hoạt hình Palestine – từng chế nhạo ông Kash Patel khi tuyên bố đã đột nhập vào hệ thống “bất khả xâm phạm” của FBI. Trên thực tế, chúng chỉ xâm nhập được vào các email Gmail cũ của ông Patel.
“Việc mọi tuyên bố của Handala đều khiến dư luận hoảng sợ cho thấy thực tế mối đe dọa từ Iran là điều mà cả cơ quan chính phủ lẫn các công ty bảo mật đều chưa thể truyền đạt rõ ràng,” ông Alex Orleans, nhà nghiên cứu an ninh mạng nhiều năm theo dõi tin tặc Iran và hiện phụ trách tình báo đe dọa tại công ty Sublime Security, nhận định.
Dù Iran đã tiến hành hàng loạt vụ tấn công mạng trong thời chiến, ông Orleans cho rằng có hai lý do khiến tình hình chưa nghiêm trọng hơn.
“Thứ nhất, Iran dường như chưa có đủ đường truy cập để tạo ra tác động kéo dài, nếu không chúng ta đã thấy nhiều vụ giống Stryker hơn,” ông nói với CNN. “Thứ hai, Iran đã cho thấy rõ ý định tồn tại bằng mọi giá, điều này khiến họ không muốn thực hiện các chiến dịch phá hoại mạng quá liều lĩnh.”
“Không ai phải trả giá”
Đối với một số quan chức Mỹ đương nhiệm và cựu quan chức, tính hung hăng và khó đoán của các chiến dịch mạng Iran đặc biệt đáng lo ngại khi cuộc bầu cử giữa kỳ đang tới gần.
Trong cuộc bầu cử năm 2020, các cơ quan liên bang Mỹ, bao gồm Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA), từng cáo buộc Iran giả danh nhóm cực hữu Proud Boys để đe dọa cử tri. Trong cuộc bầu cử tổng thống Mỹ năm 2024, tin tặc Iran cũng đột nhập vào chiến dịch tranh cử của ông Trump và gửi tài liệu nội bộ cho các cơ quan báo chí.
Hiện nay, lần đầu tiên sau nhiều năm, các quan chức quân sự và tình báo Mỹ vẫn chưa kích hoạt đội đặc nhiệm chuyên phát hiện và ngăn chặn các mối đe dọa nước ngoài nhằm vào bầu cử – động thái mà cựu quan chức Bộ Tư lệnh Không gian mạng Jason Kikta gọi là “sai lầm chiến lược nghiêm trọng”.
“Nhìn vào những gì Iran đã làm trong cuộc chiến này và những gì họ từng làm năm 2020, tôi sẽ ngạc nhiên nếu họ đứng ngoài cuộc bầu cử giữa kỳ,” ông Chris Krebs – cựu giám đốc CISA năm 2020 – nói với CNN.
“Tôi cho rằng họ sẽ tập trung vào chiến dịch tác động thông tin chứ không phải tấn công trực tiếp vào hệ thống bầu cử,” ông Krebs nhận định. “Có lý do cho điều đó. Nó rẻ, dễ mở rộng bằng AI và chẳng ai thực sự phải trả giá.”
Theo CNN
