Mỹ - Israel tấn công mạng khiến Iran mất kết nối internet 48 giờ?
Iran đang đối mặt với tình trạng mất kết nối internet nghiêm trọng, ảnh hưởng tới hơn 90 triệu dân, trong bối cảnh xung đột giữa nước này với Mỹ và Israel tiếp diễn.
Theo dữ liệu từ tổ chức giám sát Internet độc lập NetBlocks, tính đến chiều 2.3, Iran đã trải qua hơn 48 giờ gần như tê liệt internet, với mức kết nối chỉ còn khoảng 1% so với bình thường.
NetBlocks cho rằng tình trạng mất kết nối này là kết quả của một “lệnh đóng internet toàn quốc do chính quyền áp đặt” dù chính phủ Iran chưa đưa ra bình luận nào.
“Đóng internet là một chiến thuật thường được chính quyền Iran sử dụng, lần gần nhất trước đó diễn ra vào tháng 1, kéo dài nhiều tuần”, NetBlocks cho hay.
Lần mất kết nối internet vào tháng 1 xảy ra giữa lúc các cuộc biểu tình lan rộng trong nước. Chính phủ Iran có tiền lệ thực hiện các đợt đóng internet trong thời gian bất ổn dân sự và xung đột.
Nhà phân tích internet Doug Madory viết trên mạng xã hội X rằng lượng nhỏ các hoạt động internet còn diễn ra có thể do hệ thống danh sách trắng mới của Iran, tạo ra ngoại lệ cho các nhóm trung thành với chính quyền.
Tuy nhiên, các báo cáo cũng cho thấy các tác nhân của Mỹ và Israel đã thực hiện các cuộc tấn công mạng vào hạ tầng internet Iran cùng với các cuộc không kích.
Theo bản tin trên Reuters, các tác nhân của Mỹ - Israel đã nhắm vào nhiều trang web tin tức liên kết chính phủ Iran thông qua các vụ tấn công mạng. Reuters cho biết ứng dụng lịch tôn giáo phổ biến BadeSaba Calendar, với hơn 5 triệu lượt tải xuống, đã bị xâm nhập, hiển thị cảnh báo kêu gọi lực lượng vũ trang “buông vũ khí và hòa nhập với nhân dân” cùng thông điệp “Đã đến lúc phải trả giá”.
BadeSaba Calendar là ứng dụng di động rất phổ biến ở Iran, được thiết kế để thông báo thời gian cầu nguyện của người Hồi giáo và giúp người dùng theo dõi các lịch tôn giáo hàng ngày trên smartphone.
Hamid Kashfi, người sáng lập công ty an ninh mạng DarkCell (Thụy Điển), cho biết cuộc tấn công mạng vào BadeSaba Calendar được coi là chiến lược thông minh vì những người ủng hộ chính phủ Iran thường sử dụng nó và họ có xu hướng sùng đạo hơn.
Các hoạt động mạng cũng nhắm vào nhiều dịch vụ chính phủ và mục tiêu quân sự Iran nhằm hạn chế khả năng phản ứng phối hợp từ phía Tehran, tờ Jerusalem Post đưa tin hôm 1.3.
Vào tháng 1, đài truyền hình nhà nước Iran được cho là bị tấn công mạng, phát các bài phát biểu từ Tổng thống Mỹ Donald Trump và con trai lưu vong của vị vua (Shah) cuối cùng thuộc Iran kêu gọi công chúng nổi dậy.
Mohammad Reza Pahlavi là vị vua cuối cùng của Iran, người cai trị từ năm 1941 đến 1979 trước khi bị lật đổ bởi Cuộc Cách mạng Hồi giáo Iran năm 1979, khi chế độ quân chủ bị thay thế bằng nền Cộng hòa Hồi giáo.
Iran tấn công mạng để trả đũa?
Theo một số nhà phân tích, khi Iran đáp trả bằng các cuộc tấn công và drone (máy bay không người lái) nhắm vào mục tiêu Mỹ và đồng minh ở Trung Đông, các nhóm liên kết Iran cũng có thể sử dụng các cuộc tấn công mạng.
Adam Meyers - Trưởng bộ phận chống đối thủ tại CrowdStrike - nói với CNBC rằng: “Công ty đã ghi nhận các hoạt động phù hợp với các tác nhân liên kết Iran và nhóm hacktivist, thực hiện trinh sát và bắt đầu các cuộc tấn công từ chối dịch vụ phân tán (DDoS). Những hành vi này thường báo trước các hoạt động quyết liệt hơn”.
“Trong các xung đột trước đây, các tác nhân mạng Iran đã điều chỉnh hoạt động của mình theo các mục tiêu chiến lược rộng hơn nhằm tăng áp lực và sự chú ý vào các mục tiêu, gồm năng lượng, hạ tầng quan trọng, tài chính, viễn thông và y tế”, ông nói.
“Khi Iran cân nhắc các lựa chọn của mình, khả năng các nhóm proxy và hacktivist có thể hành động, gồm cả các cuộc tấn công mạng, vào các mục tiêu quân sự, thương mại hoặc dân sự liên kết với Israel và Mỹ, sẽ tăng lên”, Rafe Pilling - Giám đốc tình báo mối đe dọa tại công ty an ninh mạng Sophos (Vương quốc Anh) - nhận định.
Các cuộc tấn công có thể bao gồm khuếch đại các vụ rò rỉ dữ liệu cũ dưới dạng mới, thực hiện một số nỗ lực đơn giản nhằm xâm nhập hệ thống công nghiệp kết nối internet và các hoạt động mạng tấn công trực tiếp, Rafe Pilling nói thêm.
Hacktivist là thuật ngữ ghép từ hacker và activist, nghĩa là người sử dụng kỹ năng hack máy tính để thực hiện các hoạt động chính trị hoặc xã hội. Nói cách khác, hacktivist không chỉ hack vì tiền mà nhằm truyền tải thông điệp, thay đổi chính sách, phản đối chính quyền, tổ chức hay cổ vũ cho một phong trào xã hội.
Nhóm proxy là nhóm bên thứ ba thực hiện hành động thay cho một quốc gia hoặc tổ chức lớn hơn.
Hoạt động mạng ở Trung Đông đang tăng, theo Cynthia Kaiser - cựu quan chức cấp cao FBI (Cục Điều tra Liên bang Mỹ) về an ninh mạng và hiện là phó chủ tịch cấp cao tại công ty chống ransomware Halcyon (Mỹ).
Cynthia Kaiser cho biết công ty cũng ghi nhận các lời kêu gọi hành động từ các cá nhân hoạt động trên mạng ủng hộ Iran. Đó là những người từng thực hiện các hoạt động tấn công gây rò rỉ thông tin, dùng mã độc tống tiền và tấn công từ chối dịch vụ phân tán (DDoS), làm quá tải các dịch vụ internet khiến chúng không thể truy cập được.
Theo hãng an ninh mạng Anomali (Mỹ), các nhóm hacker do nhà nước Iran hậu thuẫn đã tiến hành những cuộc tấn công "xóa dữ liệu" nhằm xóa dữ liệu trên các mục tiêu của Israel.
Iran thường được các quan chức an ninh mạng Mỹ nhắc đến cùng với Nga và Trung Quốc như một mối đe dọa với mạng lưới của Mỹ. Thế nhưng, các phản ứng trước đây từ Iran với các cuộc tấn công trên lãnh thổ của mình lại khá im lặng.
Sau khi Mỹ tấn công các cơ sở hạt nhân của Iran vào tháng 6.2025, có rất ít dấu hiệu cho thấy nước này trả đũa bằng các cuộc tấn công mạng lớn. Đó là những hoạt động mà người ta thường nhắc đến khi bàn về khả năng kỹ thuật số của Iran.
