Nhóm hacker APT42 do nhà nước Iran tài trợ nhắm mục tiêu vào chính phủ, các tổ chức phi chính phủ và các tổ chức liên chính phủ để thu thập thông tin xác thực

Trong lĩnh vực an ninh mạng, sự cảnh giác là điều tối quan trọng. Những tiết lộ gần đây từ Mandiant của Google Cloud đã làm sáng tỏ các hoạt động bất chính của APT42, một nhóm gián điệp mạng do nhà nước tài trợ được cho là hoạt động thay mặt cho Lực lượng Vệ binh Cách mạng Hồi giáo (IRGC) ở Iran. Với lịch sử ít nhất là từ năm 2015, APT42 đã nổi lên như một mối đe dọa đáng kể, nhắm vào nhiều thực thể bao gồm các tổ chức phi chính phủ, tổ chức chính phủ và các tổ chức liên chính phủ.

Hoạt động dưới nhiều bí danh khác nhau như Calanque và UNC788, cách thức hoạt động của APT42 hết sức phức tạp. Bằng cách sử dụng các chiến thuật kỹ thuật xã hội, nhóm này đóng vai nhà báo và người tổ chức sự kiện để xâm nhập vào mạng lưới các mục tiêu của mình. Bằng cách tận dụng các chiến lược lừa đảo này, APT42 có được sự tin tưởng của những nạn nhân không nghi ngờ, cho phép họ thu thập thông tin xác thực có giá trị để truy cập trái phép.

Một trong những điểm nổi bật trong cách tiếp cận của APT42 là việc sử dụng nhiều cửa hậu để tạo điều kiện thuận lợi cho các hoạt động độc hại của nó. Báo cáo của Mandiant nhấn mạnh việc triển khai hai cửa hậu mới trong các cuộc tấn công gần đây. Những công cụ bí mật này cho phép APT42 xâm nhập vào môi trường đám mây, lấy cắp dữ liệu nhạy cảm và tránh bị phát hiện bằng cách tận dụng các công cụ nguồn mở và các tính năng tích hợp sẵn.

Phân tích của Mandiant tiết lộ thêm về cơ sở hạ tầng phức tạp được APT42 sử dụng trong hoạt động của mình. Nhóm này tổ chức các chiến dịch thu thập thông tin xác thực trên diện rộng, phân loại các mục tiêu của mình thành ba cụm riêng biệt. Từ việc giả mạo các tổ chức truyền thông đến mạo danh các dịch vụ hợp pháp, APT42 sử dụng nhiều chiến thuật khác nhau để dụ nạn nhân tiết lộ thông tin đăng nhập của họ.

Hơn nữa, các hoạt động của APT42 còn vượt ra ngoài hoạt động gián điệp mạng truyền thống. Nhóm này đã thể hiện sự sẵn sàng điều chỉnh chiến thuật của mình , bằng chứng là việc triển khai các cửa hậu tùy chỉnh như Nicecurl và Tamecat. Các công cụ này, được viết tương ứng bằng VBScript và PowerShell, cho phép APT42 thực thi các lệnh tùy ý và trích xuất thông tin nhạy cảm từ các hệ thống bị xâm nhập.

Bất chấp căng thẳng địa chính trị và xung đột khu vực, APT42 vẫn kiên định theo đuổi việc thu thập thông tin tình báo. Những phát hiện của Mandiant nhấn mạnh khả năng phục hồi và bền bỉ của nhóm khi nhóm này tiếp tục nhắm mục tiêu vào các thực thể có liên quan đến các vấn đề địa chính trị nhạy cảm ở Mỹ, Israel và hơn thế nữa. Hơn nữa, sự chồng chéo giữa hoạt động của APT42 và hoạt động của các nhóm hack khác của Iran, chẳng hạn như Charming Kitten, làm nổi bật tính chất phối hợp và đa diện của các hoạt động mạng của Iran.

Trước những mối đe dọa như vậy, các biện pháp an ninh mạng chủ động là bắt buộc. Các tổ chức phải luôn cảnh giác, sử dụng các giao thức bảo mật mạnh mẽ và theo kịp những phát triển mới nhất trong phòng thủ mạng. Bằng cách tăng cường hợp tác và chia sẻ thông tin, cộng đồng toàn cầu có thể đối phó tốt hơn với bối cảnh mối đe dọa ngày càng gia tăng do các nhóm như APT42 gây ra.

Cuối cùng, những tiết lộ do Mandiant cung cấp đóng vai trò như một lời nhắc nhở nghiêm túc về tính chất dai dẳng và lan rộng của các mối đe dọa mạng. Khi công nghệ tiếp tục phát triển, hệ thống phòng thủ của chúng ta cũng phải phát triển. Chỉ thông qua hành động tập thể và sự siêng năng kiên định, chúng ta mới có thể hy vọng giảm thiểu rủi ro do các nhóm gián điệp mạng được nhà nước bảo trợ như APT42 gây ra.