Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) cho biết hiện chưa có dấu hiệu về một chiến dịch tấn công đang diễn ra.
Tuy nhiên, CISA kêu gọi các tổ chức hạ tầng trọng yếu và các mục tiêu tiềm năng khác tăng cường giám sát hệ thống phòng thủ.
Lời kêu gọi này được đưa ra trong bối cảnh tình hình bất ổn hiện nay tại Trung Đông và các cuộc tấn công mạng trước đây từng liên hệ đến Iran.
Mỹ cảnh báo tin tặc liên quan đến Iran có thể tấn công mạng nhằm vào cơ sở hạ tầng trọng yếu. Ảnh: Bleeping Computer Trong một bản thông tin chung, các cơ quan an ninh mạng cảnh báo các công ty thuộc Cơ sở Công nghiệp Quốc phòng (DIB) có liên kết với các đơn vị quốc phòng và nghiên cứu của Israel đang đối mặt với nguy cơ bị nhắm mục tiêu cao hơn.
Ngoài ra, các tổ chức trong các lĩnh vực hạ tầng trọng yếu khác, bao gồm năng lượng, nước và y tế, cũng được xem là mục tiêu tiềm năng.
Cảnh báo nêu rõ các nhóm tin tặc có liên hệ với Iran nổi tiếng với việc khai thác các lỗ hổng chưa được vá hoặc sử dụng mật khẩu mặc định để xâm nhập hệ thống.
Điều này đã được ghi nhận vào năm ngoái, khi các nhóm tin tặc có liên hệ với Lực lượng Vệ binh Cách mạng Hồi giáo (IRGC) đã xâm nhập một cơ sở cấp nước ở Pennsylvania (Mỹ) vào tháng 11/2023.
Vụ việc được thực hiện thông qua việc tấn công vào các bộ điều khiển logic PLC của Unitronics được kết nối trực tuyến.
Các tin tặc có liên hệ với Iran cũng tham gia thực hiện các cuộc tấn công từ chối dịch vụ (DDoS) hoặc tấn công thay đổi giao diện các trang web.
Những kẻ tấn công thường quảng bá hoạt động trên các nền tảng như X (trước đây là Twitter) và Telegram.
Ngoài ra, các nhóm tin tặc có liên hệ với Iran cũng sử dụng mã độc tống tiền (ransomware) hoặc hoạt động như các chi nhánh của các băng nhóm mã độc tống tiền như NoEscape, Ransomhouse và ALPHV (còn được gọi là BlackCat).
Nhiều cuộc tấn công trong số này tập trung vào các công ty Israel, nơi chúng mã hóa thiết bị và rò rỉ dữ liệu bị đánh cắp.
Trong một số trường hợp, những kẻ tấn công đã sử dụng các công cụ xóa dữ liệu (data wipers) thay vì mã độc tống tiền để thực hiện các cuộc tấn công phá hoại đối với các tổ chức.
CISA, Bộ Quốc phòng, FBI và NSA đang kêu gọi các tổ chức áp dụng các biện pháp sau đây để bảo vệ chống lại các mối đe dọa này:
Cô lập hệ thống công nghệ vận hành (OT) và hệ thống kiểm soát công nghiệp (ICS) khỏi Internet công cộng và hạn chế quyền truy cập từ xa.
Sử dụng mật khẩu mạnh, duy nhất cho tất cả các tài khoản và hệ thống trực tuyến, thay đổi tất cả mật khẩu mặc định của tài khoản.
Kích hoạt xác thực đa yếu tố (MFA) cho các hệ thống và nền tảng xác thực quan trọng.
Cài đặt tất cả các bản cập nhật phần mềm, đặc biệt trên các hệ thống kết nối Internet, để khắc phục các lỗ hổng đã biết.
Giám sát mạng và máy chủ để phát hiện các hoạt động bất thường.
Phát triển và thử nghiệm các kế hoạch ứng phó sự cố để đảm bảo rằng tất cả các bản sao lưu và kế hoạch khôi phục đang hoạt động hiệu quả.
(Theo Bleeping Computer)