Cuộc tấn công mạng vào LA Metro được liên kết với các tin tặc được nhà nước Iran bảo trợ

Cuộc tấn công mạng gây gián đoạn gần đây nhắm vào hệ thống giao thông công cộng Los Angeles đã được xác định là có liên quan đến chính phủ Iran.

Cơ quan Giao thông Vận hành Quận Los Angeles (LACMTA), thường được gọi là LA Metro, đã phát hiện một vụ vi phạm an ninh mạng vào giữa tháng 3. Sự cố an ninh mạng này đã dẫn đến sự gián đoạn hoạt động nội bộ tại LA Metro, nhưng may mắn là không ảnh hưởng đến dịch vụ tàu hỏa và xe buýt phục vụ hành khách.

Hệ thống LA Metro

Đại diện của LA Metro cho biết vào đầu tháng 4 rằng hàng trăm máy chủ đã phải được kiểm tra dấu hiệu bị xâm nhập trước khi có thể đưa trở lại hoạt động trực tuyến.

Nhóm hacktivist nhận trách nhiệm

Vài ngày sau, cuộc tấn công vào LA Metro được nhóm Ababil of Minab nhận trách nhiệm. Nhóm này tự nhận là một tổ chức hacktivist ủng hộ Iran. Tác nhân đe dọa này tuyên bố đã xóa sạch hàng trăm terabyte dữ liệu và lấy trích xuất (exfiltrate) hơn 1TB tệp tin.

Những kẻ tấn công đã công bố các ảnh chụp màn hình và video để chứng minh rằng chúng có quyền truy cập vào các hệ thống nội bộ của LA Metro, bao gồm một nền tảng quản lý ảo hóa cốt lõi, một phiên bản máy chủ web Microsoft IIS lưu trữ tài sản nội bộ và công cộng, và thậm chí là một hệ thống công nghệ vận hành (OT) được sử dụng để giám sát tàu hỏa.

"Ababil of Minab là một nhóm hacktivist ủng hộ Iran mới nổi với hồ sơ công khai hạn chế và ít hoạt động có thể kiểm chứng trước đó trong các báo cáo tình báo đe dọa — khiến việc đánh giá khả năng hoặc ý định xác định trở nên quá sớm ở giai đoạn này," công ty tình báo rủi ro Dataminr báo cáo vào thời điểm đó.

Bằng chứng liên kết đến chính phủ Iran

Công ty Gambit, một công ty chuyên về khả năng phục hồi mạng của Israel, đã phân tích nhóm Ababil of Minab và phát hiện ra các liên kết với cơ sở hạ tầng trước đây曾被 sử dụng bởi các tin tặc gắn liền với chính phủ Iran.

"Cuộc điều tra của chúng tôi phát hiện ra rằng Ababil of Minab khó có khả năng là một nhóm hacktivist độc lập mới như họ tuyên bố," Gambit cho biết trong báo cáo. "Bằng chứng pháp lý số gắn kết hoạt động này với cơ sở hạ tầng và hoạt động liên quan đến Black Shadow, một nhóm liên quan đến Iran, mà Cục Điều phối Mạng Quốc gia Israel đã quy cho Bộ Tình báo và An ninh Iran."

Gambit đã xác định các cuộc tấn công do Ababil of Minab phát động chống lại các tổ chức tại Mỹ, Israel, Ả Rập Xê Út và Thổ Nhĩ Kỳ. Những kẻ tấn công được nhìn thấy đang trích xuất dữ liệu trong tất cả các cuộc tấn công và trong một số trường hợp đã tiến hành các hoạt động phá hủy.

"Các nạn nhân bao gồm một tổ chức truyền thông của Israel, một cơ sở giáo dục đại học của Israel, một môi giới bảo hiểm của Thổ Nhĩ Kỳ và một số trang web bổ trợ trên các lĩnh vực nhà hàng, văn hóa, dịch vụ kỹ thuật số và tin tức," Gambit cho biết.

Vụ việc này nhấn mạnh xu hướng ngày càng phức tạp của các cuộc tấn công mạng, nơi ranh giới giữa các nhóm hacktivist độc lập và các hoạt động gián điệp mạng được nhà nước bảo trợ trở nên mong manh hơn.