VietNetwork.Vn

Các cơ quan an ninh mạng của Hoa Kỳ và Israel đã công bố một khuyến cáo mới chỉ ra một nhóm mạng Iran nhắm vào Thế vận hội Mùa hè 2024 và xâm nhập vào một nhà cung cấp màn hình động thương mại của Pháp để hiển thị các thông điệp lên án sự tham gia của Israel vào sự kiện thể thao này.

Hoạt động này được cho là nhắm vào một thực thể có tên là Emennet Pasargad, các cơ quan này cho biết đã hoạt động dưới tên gọi Aria Sepehr Ayandehsazan (ASA) kể từ giữa năm 2024. Cộng đồng an ninh mạng rộng lớn hơn theo dõi thực thể này với tên gọi Cotton Sandstorm, Haywire Kitten và Marnanbridge.


Theo bản tư vấn, "Nhóm này đã thể hiện những mánh khóe mới trong nỗ lực tiến hành các hoạt động thông tin mạng đến giữa năm 2024 bằng cách sử dụng vô số nhân vật ngụy trang, bao gồm nhiều hoạt động mạng diễn ra trong và nhắm vào Thế vận hội Mùa hè 2024 - bao gồm cả việc xâm nhập vào một nhà cung cấp màn hình động thương mại của Pháp ".

ASA, Cục Điều tra Liên bang Hoa Kỳ (FBI), Bộ Tài chính và Cục An ninh mạng Quốc gia Israel cho biết, cũng đã đánh cắp nội dung từ camera IP và sử dụng phần mềm trí tuệ nhân tạo (AI) như Remini AI Photo Enhancer, Voicemod và Murf AI để điều chế giọng nói và Appy Pie để tạo hình ảnh nhằm phát tán thông tin tuyên truyền.

Được đánh giá là một phần của Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC), tác nhân đe dọa này được biết đến với các hoạt động gây ảnh hưởng và mạng lưới dưới các tên gọi như Al-Toufan, Anzu Team, Cyber Cheetahs, Cyber Flood, For Humanity, Menelaus và Market of Data, cùng nhiều tên khác.

Một trong những chiến thuật mới được quan sát thấy liên quan đến việc sử dụng các nhà bán lại dịch vụ lưu trữ giả mạo để cung cấp cơ sở hạ tầng máy chủ hoạt động cho mục đích riêng của mình cũng như cho một bên ở Lebanon để lưu trữ các trang web liên kết với Hamas (ví dụ: alqassam[.]ps).

"Kể từ khoảng giữa năm 2023, ASA đã sử dụng một số nhà cung cấp dịch vụ lưu trữ ẩn để quản lý cơ sở hạ tầng và che giấu", các cơ quan cho biết. "Hai nhà cung cấp này là 'Server-Speed' (server-speed[.]com) và 'VPS-Agent' (vps-agent[.]net)."

"ASA thành lập các đại lý bán lẻ của riêng mình và mua không gian máy chủ từ các nhà cung cấp có trụ sở tại Châu Âu, bao gồm công ty BAcloud có trụ sở tại Litva và Stark Industries Solutions/PQ Hosting (lần lượt có trụ sở tại Vương quốc Anh và Moldova). Sau đó, ASA tận dụng các đại lý bán lẻ này để cung cấp máy chủ đang hoạt động cho các tác nhân mạng của riêng mình để thực hiện các hoạt động mạng độc hại."

Cuộc tấn công nhằm vào nhà cung cấp màn hình thương mại Pháp giấu tên diễn ra vào tháng 7 năm 2024 bằng cách sử dụng cơ sở hạ tầng VPS-agent. Nó tìm cách hiển thị các bức ảnh ghép chỉ trích sự tham gia của các vận động viên Israel tại Thế vận hội Olympic và Paralympic 2024.

Hơn nữa, ASA bị cáo buộc đã cố gắng liên lạc với gia đình của các con tin người Israel sau cuộc chiến tranh Israel-Hamas vào đầu tháng 10 năm 2023 dưới danh nghĩa Contact-HSTG và gửi những tin nhắn có khả năng "gây ra thêm những tác động tâm lý và gây thêm chấn thương".

Tác nhân đe dọa này cũng có liên quan đến một nhân vật khác có tên là Cyber Court, người này quảng bá các hoạt động của một số nhóm hacker hoạt động bí mật do chính nhóm này điều hành trên một kênh Telegram và một trang web chuyên dụng được thiết lập cho mục đích này ("cybercourt[.]io").

Cả hai tên miền vps-agent[.]net và cybercourt[.]io đều đã bị tịch thu sau một chiến dịch thực thi pháp luật chung do Văn phòng Luật sư Hoa Kỳ tại Quận phía Nam của New York (SDNY) và FBI tiến hành.

Không chỉ có vậy. Sau khi chiến tranh nổ ra, ASA được cho là đã theo đuổi các nỗ lực để liệt kê và lấy nội dung từ các camera IP ở Israel, Gaza và Iran, cũng như thu thập thông tin về các phi công chiến đấu và người điều khiển máy bay không người lái (UAV) của Israel thông qua các trang web như   Đăng nhập để xem liên kết,   Đăng nhập để xem liên kết,   Đăng nhập để xem liên kết,   Đăng nhập để xem liên kết và   Đăng nhập để xem liên kết.


Diễn biến này diễn ra trong bối cảnh Bộ Ngoại giao Hoa Kỳ tuyên bố thưởng lên tới 10 triệu đô la cho thông tin giúp xác định danh tính hoặc tung tích của những người có liên quan đến nhóm tin tặc có liên hệ với IRGC có tên Shahid Hemmat vì tội nhắm vào cơ sở hạ tầng quan trọng của Hoa Kỳ.

"Shahid Hemmat có liên quan đến các tác nhân mạng độc hại nhắm vào ngành công nghiệp quốc phòng Hoa Kỳ và các ngành vận tải quốc tế", báo cáo cho biết.

"Là một thành phần của IRGC-CEC [Bộ tư lệnh điện tử mạng], Shahid Hemmat có liên hệ với các cá nhân và tổ chức khác có liên quan đến IRGC-CEC bao gồm: Mohammad Bagher Shirinkar, Mahdi Lashgarian, Alireza Shafie Nasab và công ty bình phong Emennet Pasargad, Dadeh Afzar Arman (DAA) và Mehrsam Andisheh Saz Nik (MASN)."