Các chuyên gia an ninh mạng từ Lookout vừa phát hiện bốn biến thể mới của phần mềm độc hại DCHSpy, một công cụ gián điệp tinh vi trên nền tảng Android được cho là do nhóm tin tặc MuddyWater phát triển. Nhóm này có liên hệ chặt chẽ với Bộ Tình báo và An ninh Iran (MOIS). Sự xuất hiện của những biến thể mới này trùng với thời điểm căng thẳng giữa Iran và Israel leo thang, cho thấy phần mềm độc hại này liên tục được điều chỉnh để đáp ứng tình hình địa chính trị đang thay đổi.

DCHSpy lần đầu tiên được phát hiện vào năm 2024 và hoạt động như một mô-đun cấy ghép để đánh cắp dữ liệu toàn diện từ thiết bị của nạn nhân. Phần mềm này có khả năng thu thập thông tin đăng nhập, danh bạ, tin nhắn SMS, tệp lưu trữ, vị trí địa lý, nhật ký cuộc gọi, ghi âm âm thanh và ảnh từ camera. Đáng chú ý, DCHSpy còn có khả năng thu thập dữ liệu từ ứng dụng WhatsApp, tăng mức độ xâm nhập vào quyền riêng tư của người dùng.

MuddyWater là một nhóm tin tặc nổi tiếng với các hoạt động nhắm vào các tổ chức viễn thông, quốc phòng, năng lượng và chính phủ ở Trung Đông, Châu Á, Châu Phi, Châu Âu và Bắc Mỹ. DCHSpy được cho là công cụ chủ lực của nhóm này trong các chiến dịch gián điệp nhằm vào các quốc gia và lực lượng đối địch với Iran.

Các phân tích của Lookout chỉ ra rằng cơ sở hạ tầng của DCHSpy chia sẻ địa chỉ IP chỉ huy và kiểm soát với phần mềm gián điệp Android SandStrike, cũng như trojan truy cập từ xa PowerShell do MuddyWater sử dụng. Nhóm này thường áp dụng các chiến thuật phát tán phần mềm độc hại qua URL độc hại, thường được chia sẻ qua ứng dụng Telegram.

Phiên bản mới nhất của DCHSpy không chỉ thu thập dữ liệu WhatsApp mà còn nâng cao khả năng nhận dạng và trích xuất tệp mục tiêu. Dữ liệu bị đánh cắp sẽ được nén, mã hóa bằng mật khẩu từ máy chủ điều khiển và tải lên thông qua giao thức SFTP, giúp kẻ tấn công duy trì sự bí mật.

Kiến trúc mô-đun của DCHSpy cho phép nó được tùy chỉnh dễ dàng để theo kịp tình hình thời sự và khai thác các sự kiện nóng hổi cho các chiến dịch tấn công lừa đảo.

Mồi nhử StarLink và các ứng dụng giả mạo trên Telegram

Sau các vụ tấn công làm gián đoạn internet tại Iran, các phiên bản DCHSpy mới đã sử dụng mồi nhử dưới dạng ứng dụng VPN có chủ đề StarLink. Một tệp độc hại được ngụy trang như một VPN hợp pháp, đánh lừa người dùng bằng lời mời gọi truy cập internet qua vệ tinh.

Chiến lược quen thuộc của MuddyWater là giả dạng các ứng dụng phổ biến như VPN hoặc phần mềm ngân hàng để phát tán mã độc. Chúng quảng bá thông qua Telegram, lợi dụng các dịch vụ như EarthVPN, ComodoVPN với nội dung chống chế độ bằng tiếng Anh và tiếng Ba Tư, nhắm vào nhà báo, nhà hoạt động và những người bất đồng chính kiến.

Những liên kết dẫn đến các trang web đơn giản chứa tệp APK độc hại, sử dụng thông tin giả như địa chỉ doanh nghiệp tại Canada hoặc Romania để tạo lòng tin. Đây là phương pháp từng được sử dụng trong chiến dịch HideVPN vào tháng 7/2024.

DCHSpy là một phần trong xu hướng rộng hơn mà Lookout đang theo dõi, với ít nhất 17 nhóm phần mềm độc hại di động liên quan đến hơn 10 chiến dịch APT của Iran trong hơn một thập kỷ. Những chiến dịch này thường kết hợp các công cụ mã nguồn mở như Metasploit, AndroRat, AhMyth trong chiến dịch theo dõi từ xa.

Khi căng thẳng ở Trung Đông tiếp diễn sau lệnh ngừng bắn, Lookout tiếp tục theo dõi sự tiến hóa của DCHSpy và cam kết cung cấp thông tin tình báo cập nhật cho cộng đồng an ninh mạng.

Cơ quan An ninh Ukraine (SBU) đã tăng cường các biện pháp an ninh tại thủ đô Kiev sau khi thành công ngăn chặn một vụ tấn công khủng bố bị cho là do Liên bang Nga lên kế hoạch. Một người phụ nữ đã bị bắt giữ khi đang cố gắng đặt chất nổ tại một quán cà phê ở trung tâm thành phố. Theo SBU, các thiết bị nổ tự chế thu được có sức công phá tương đương 1,5 kg thuốc nổ TNT.

Được biết, vụ tấn công này đã được lên kế hoạch cẩn thận và sẽ được kích nổ từ xa vào giờ cao điểm nhằm gây ra số thương vong lớn nhất có thể. Tuy nhiên, đến thời điểm hiện tại, phía Liên bang Nga vẫn chưa đưa ra bất kỳ bình luận nào về cáo buộc này. SBU đã bắt giữ người phụ nữ tại hiện trường và thu giữ các thiết bị nổ. Qua quá trình điều tra, cơ quan này cho rằng vụ tấn công do phía Liên bang Nga đặt hàng và được thực hiện bởi một cư dân của Kiev, người đã bị tuyển mộ để thực hiện hành động khủng bố dưới vỏ bọc ‘giả danh’. Người phụ nữ này bị thuyết phục rằng bà đang thực hiện một nhiệm vụ được cho là của SBU.

Đây không phải là lần đầu tiên SBU phát hiện ra một mạng lưới gián điệp hoạt động tại Ukraine. Vào tháng 5, SBU đã phát hiện một mạng lưới gián điệp có liên hệ với cơ quan tình báo quân sự của Hungary hoạt động tại vùng Zakarpattia. Nhiệm vụ của nhóm gián điệp là thu thập thông tin về hệ thống phòng thủ quân sự của Zakarpattia và xác định các điểm yếu trong hệ thống phòng không và phòng thủ mặt đất. Hai điệp viên làm việc cho mạng lưới tình báo Hungary đã bị bắt giữ tại Zakarpattia trong một chiến dịch phản gián phức tạp do SBU tiến hành. Một trong hai điệp viên là một cựu quân nhân Ukraine 40 tuổi, người đã bị các đặc vụ Hungary chiêu mộ từ năm 2021.

SBU đã xác định danh tính của người điều phối và thu giữ các bằng chứng vật lý liên quan đến hoạt động gián điệp. Các nghi phạm đã bị truy tố chính thức theo Điều 111-2 của Bộ luật Hình sự Ukraine – tội phản quốc trong thời kỳ chiến tranh. Hiện họ đang bị tạm giam trước phiên tòa và có thể đối mặt với án tù chung thân cùng với việc tịch thu tài sản.

Đài Loan đang tăng cường các nỗ lực chống lại hoạt động gián điệp của Trung Quốc trong bối cảnh ngày càng có nhiều thách thức đối với an ninh quốc gia của hòn đảo này. Theo số liệu mới nhất, trong năm 2024, đã có 64 cá nhân bị buộc tội liên quan đến gián điệp, con số này đã vượt qua tổng số của hai năm trước đó cộng lại. Chính phủ Đài Loan cho biết khoảng hai phần ba số người bị buộc tội có lý lịch quân sự, bao gồm cả những người đang phục vụ trong quân đội.

Các vụ án gián điệp không chỉ giới hạn trong lĩnh vực quân sự mà còn lan sang các lĩnh vực dân sự và chính trị. Mới đây, các công tố viên Đài Loan đã truy tố bốn cựu quan chức thuộc Đảng Dân chủ Tiến bộ (DPP) vì cáo buộc chuyển thông tin ngoại giao cho Trung Quốc. Những vụ việc này làm nổi bật mức độ nghiêm trọng của vấn đề gián điệp và sự cần thiết của các biện pháp đối phó hiệu quả.

Để chống lại sự gia tăng các vụ việc gián điệp, chính phủ Đài Loan đã đưa ra một loạt các cải cách lập pháp và thể chế. Các sửa đổi đối với luật an ninh quốc gia đã tăng hình phạt đối với việc làm rò rỉ công nghệ cốt lõi hoặc thông tin quốc phòng mật. Chính phủ cũng triển khai các sáng kiến giáo dục công chúng nhằm giảm thiểu rủi ro bị lôi kéo và yêu cầu các trường đại học xem xét kỹ lưỡng hơn các quan hệ đối tác xuyên eo biển.

Ông Lại Thanh Đức, Tổng thống Đài Loan, đã mô tả những động thái này là phản ứng của toàn xã hội, đồng thời kêu gọi tăng cường cảnh giác trên mọi lĩnh vực. Tuy nhiên, một số nhà lập pháp, chuyên gia pháp lý và nhóm nhân quyền cảnh báo rằng các biện pháp này có nguy cơ vượt quá giới hạn và xâm phạm quyền riêng tư của công dân.

Dù vậy, Đài Loan đã mở rộng việc thực thi Đạo luật Chống Thâm nhập của mình và các tòa án đã có lập trường kiên quyết hơn trong các vụ án gần đây. Các đối tác quốc tế cũng đã bắt đầu chú ý hơn đến kinh nghiệm của Đài Loan trong việc chống lại gián điệp.

Tóm lại, Đài Loan đang tích cực chiến đấu chống lại gián điệp của Trung Quốc thông qua các biện pháp cải cách lập pháp, giáo dục công chúng và thực thi pháp luật. Tuy nhiên, vẫn còn nhiều thách thức và cần có sự cảnh giác liên tục để bảo vệ an ninh quốc gia. Việc cân bằng giữa bảo vệ an ninh và đảm bảo quyền tự do của công dân sẽ tiếp tục là một thách thức lớn đối với chính phủ Đài Loan trong thời gian tới.

Nhìn chung, các nỗ lực của Đài Loan trong việc chống lại gián điệp của Trung Quốc đã và đang được đẩy mạnh. Với sự hỗ trợ của các đối tác quốc tế và sự quyết tâm của chính phủ, Đài Loan hy vọng sẽ bảo vệ được an ninh quốc gia và duy trì ổn định trong khu vực.