Google xác nhận nhóm tin tặc Iran hậu thuẫn nhắm vào hai chiến dịch tranh cử ở Mỹ

Gã khổng lồ công nghệ Google xác nhận, một nhóm tin tặc được cho là do chính quyền Iran hậu thuẫn gần đây đã nhắm mục tiêu vào các cá nhân có liên quan đến các chiến dịch vận động tranh cử của Tổng thống Mỹ Joe Biden và cựu Tổng thống Donald Trump

Trong một bài đăng trên blog hôm 14/8, Nhóm phân tích mối đe dọa (TAG) của Google, hoạt động như bộ phận tình báo về mối đe dọa và an ninh mạng của tập đoàn này, cho biết, nhóm tin tặc được gọi là APT42 là có liên kết với Quân đoàn Vệ binh Cách mạng Hồi giáo Iran (IRGC).

Google cảnh báo, nhóm tin tặc này liên tục nhắm mục tiêu vào “các cá nhân nổi tiếng ở Israel và Hoa Kỳ.”

Theo gã khổng lồ công nghệ Mỹ, các mục tiêu này bao gồm các quan chức chính phủ hiện tại và trước đây, các chiến dịch chính trị, các nhà ngoại giao, các cá nhân làm việc tại tổ chức tư vấn chính sách và các tổ chức phi chính phủ (NGO), cũng như “các tổ chức học thuật tham gia vào các cuộc thảo luận chính sách ngoại giao.”

TAG lưu ý, họ đã phát hiện và ngăn chặn một “nhịp điệu nhỏ nhưng đều đặn” trong hoạt động giả mạo thông tin xác thực của APT42 trong chu kỳ bầu cử tổng thống Hoa Kỳ hiện tại.

Theo bài đăng trên blog của Google, các cuộc tấn công mạng giả mạo này, diễn ra vào tháng Năm, đã nhắm mục tiêu vào các tài khoản email cá nhân của khoảng một chục người có liên kết với Tổng thống Biden và cựu Tổng thống Trump, cũng như những người có liên quan đến chiến dịch vận động tranh cử của họ.

Nhóm TAG của Google cho biết, họ đã chặn “nhiều” nỗ lực của APT42 đăng nhập vào tài khoản email cá nhân của những cá nhân bị nhắm mục tiêu và cũng đã cảnh báo những người bị nhắm mục tiêu về việc này.

Google cũng cài đặt lại tất cả tài khoản bị xâm nhập, cập nhật các phát hiện mới, loại bỏ các trang Google Sites độc hại, đồng thời tiến hành các nỗ lực khác nhằm phá vỡ cơ sở hạ tầng của nhóm tin tặc này. 

Tin tặc truy cập tài khoản email

Tuy nhiên, Google tiết lộ, nhóm tin tặc này đã thành công trong việc chiếm được quyền truy cập vào tài khoản Gmail cá nhân của một “nhà tư vấn chính trị nổi tiếng.”

Google không cho biết tên của nhà tư vấn này, nhưng cho biết họ đã báo cáo vụ việc cho FBI vào tháng Bảy và tiếp tục hợp tác với cơ quan này.

TAG cũng lưu ý rằng họ tiếp tục quan sát thấy “những nỗ lực không thành công” của APT42 trong việc xâm nhập vào tài khoản cá nhân của những người có liên kết với Phó Tổng thống Mỹ Kamala Harris, đề cử viên tranh cử tổng thống của Đảng Dân chủ.

Theo một bài đăng khác trên blog được công ty an ninh mạng Mandiant của Hoa Kỳ, một công ty con của Google, đăng vào năm 2022, APT còn được gọi là “Crooked Charms” và “TA453”

Mandiant cho biết, nhóm gián điệp mạng này, đã hoạt động ít nhất từ năm 2015, thường tiến hành giám sát các hoạt động và thu thập thông tin về những người và tổ chức có “lợi ích chiến lược” đối với chính quyền Iran.

Trong bài đăng mới nhất trên blog của mình, Google cảnh báo, nhóm tin tặc này “đã nhắm mục tiêu mạnh mẽ” vào người dùng ở Israel và Hoa Kỳ trong khoảng thời gian từ tháng Hai đến cuối tháng Bảy.

Công ty công nghệ hàng đầu của Mỹ cho biết: “Trong sáu tháng qua, Hoa Kỳ và Israel chiếm khoảng 60% mục tiêu địa lý được biết đến của APT42, bao gồm cả những cựu quan chức quân sự cấp cao của Israel và những cá nhân có liên quan đến cả hai chiến dịch vận động tranh cử tổng thống Mỹ.”

“Những hoạt động này thể hiện nỗ lực tích cực, đa hướng của nhóm tin tặc này nhằm thay đổi nhanh chóng trọng tâm hoạt động của họ trong việc hỗ trợ các ưu tiên quân sự và chính trị của Iran.”

Tấn công mạng vào Hoa Kỳ, Israel ngày càng tăng

Theo Google, nhóm APT42 “đã tăng cường” nhắm mục tiêu vào người dùng ở Israel vào tháng 4/2024, khi nhóm này tìm kiếm những người có liên quan đến lĩnh vực quân sự và quốc phòng của Israel, cũng như các nhà ngoại giao, các học giả, và các tổ chức phi chính phủ.

Google cảnh báo, nhóm tin tặc này sử dụng nhiều chiến thuật khác nhau trong chiến dịch giả mạo email nhắm vào nạn nhân, bao gồm email chứa phần mềm độc hại, các trang giả mạo lừa đảo, và chuyển hướng độc hại.

Nhóm này cũng thường lạm dụng các dịch vụ như Google Drive, Gmail, Dropbox, OneDrive, và những dịch vụ khác cho các mục đích này.

Đây không phải là lần đầu tiên Google phá vỡ các nỗ lực xâm nhập mạng được cho là do APT42 thực hiện trước thềm cuộc bầu cử quan trọng  ở Hoa Kỳ. Ví dụ, trong chu kỳ bầu cử tổng thống Mỹ năm 2020, Google cho biết, nhóm tin tặc này cùng với nhóm tấn công mạng khác của Trung Quốc cũng đã nhắm mục tiêu vào những cá nhân nổi tiếng bằng cách sử dụng các email giả mạo thông tin xác thực và các email chứa liên kết theo dõi.

Bài đăng trên blog của Google đã mở rộng thêm một báo cáo gần đây của Microsoft, trong đó tiết lộ rằng Iran bị nghi ngờ thực hiện cuộc xâm nhập mạng trong cuộc bầu cử tổng thống Mỹ năm nay.

Chiến dịch vận động tranh cử tổng thống năm 2024 của cựu Tổng thống Trump gần đây cho biết, họ đã trở thành mục tiêu của một cuộc tấn công mạng và các tài liệu nhạy cảm đã bị đánh cắp.

Cựu Tổng thống Trump cáo buộc “các nguồn nước ngoài thù địch với Hoa Kỳ” đã thực hiện cuộc tấn công mạng này.