Theo FBI, nền tảng nhắn tin này đang bị khai thác như một hạ tầng điều khiển và ra lệnh (C2) trong một số chiến dịch tấn công mạng. Các mục tiêu bị ảnh hưởng bao gồm nhà báo, cá nhân có quan điểm đối lập và một số nhóm liên quan tại khu vực Trung Đông cũng như trên phạm vi toàn cầu. Cơ quan này cho biết, trong bối cảnh tình hình địa chính trị tại Trung Đông diễn biến phức tạp, các hoạt động tấn công mạng có xu hướng gia tăng cả về tần suất lẫn mức độ tinh vi. Phần mềm độc hại được sử dụng không chỉ nhằm thu thập thông tin, mà còn phục vụ các mục đích như rò rỉ dữ liệu và gây tổn hại uy tín của các bên bị nhắm mục tiêu.
Kịch bản tấn công khai thác niềm tin người dùng
Cũng theo công bố của FBI, các cuộc tấn công được thiết kế có chủ đích, tập trung khai thác tâm lý người dùng. Đối tượng giả danh người quen hoặc nhân viên hỗ trợ kỹ thuật để tiếp cận mục tiêu, sau đó gửi các liên kết chứa tệp tin độc hại. Các tệp này được ngụy trang dưới dạng ứng dụng hợp pháp hoặc bản “cập nhật” của những nền tảng phổ biến như WhatsApp, Telegram, khiến nạn nhân khó nhận diện rủi ro và chủ động cài đặt vào thiết bị. Đây là bước then chốt, cho phép mã độc xâm nhập mà không cần vượt qua các lớp bảo vệ kỹ thuật ban đầu.
Ở giai đoạn đầu, đối tượng không tấn công trực diện mà tiến hành thu thập thông tin có chọn lọc để xác định đặc điểm và hành vi của mục tiêu. Hoạt động “trinh sát mềm” này là nền tảng để xây dựng kịch bản tiếp cận phù hợp. Từ dữ liệu thu được, tin tặc thiết lập các tài khoản giả mạo, đóng vai người quen hoặc nhân viên hỗ trợ kỹ thuật của các nền tảng như Telegram, WhatsApp. Việc mạo danh được cá thể hóa, bảo đảm phù hợp với từng nạn nhân, qua đó tạo độ tin cậy đủ lớn để không bị nghi ngờ.
Khi đã thiết lập được niềm tin, đối tượng đưa ra các tình huống giả định mang tính khẩn cấp, buộc nạn nhân phải xử lý ngay. Dưới danh nghĩa “tăng cường bảo mật”, nạn nhân bị dẫn dụ cài đặt công cụ do đối tượng cung cấp. Đây là bước then chốt, chuyển từ giai đoạn tiếp cận sang xâm nhập hệ thống. Chính ở bước này, mã độc được ngụy trang dưới lớp vỏ của một tệp tin tưởng như vô hại. Những tên gọi như Telegram_authenticator.exe hay WhatsApp.exe khiến người dùng dễ lầm tưởng đây là phần mềm hỗ trợ chính thức. Trên thực tế, đó là “ngựa thành Troy”, mở đường cho quá trình xâm nhập mà nạn nhân hầu như không nhận ra.
Khi tệp tin được kích hoạt, giai đoạn thứ hai bắt đầu. Mã độc lập tức thực hiện một loạt thao tác ngầm nhằm bảo đảm khả năng tồn tại lâu dài trong hệ thống. Trước hết, nó tự ra lệnh cho máy tính loại trừ các thư mục chứa mã độc khỏi phạm vi quét của phần mềm diệt virus. Sau đó, nó tự ghi mình vào cơ chế khởi động cùng hệ điều hành, bảo đảm rằng mỗi lần máy tính bật lên, mã độc cũng tự động hoạt động trở lại. Đây là bước “cắm rễ”, biến một lần sơ suất của người dùng thành sự hiện diện kéo dài của tin tặc trong thiết bị.
Tuy nhiên, phần nguy hiểm nhất chưa nằm ở việc xâm nhập, mà ở cách điều khiển sau đó. Sau khi bám trụ thành công, mã độc tiếp tục tải thêm các thành phần chuyên biệt khác để phục vụ hoạt động gián điệp. Từ một tệp tin giả mạo ban đầu, hệ thống bị biến thành một điểm truy cập mở, sẵn sàng nhận lệnh từ xa và chuyển dữ liệu ra ngoài.
Điểm tinh vi của chiến dịch nằm ở chỗ tin tặc không sử dụng các máy chủ điều khiển lạ dễ bị phát hiện, mà lợi dụng chính hạ tầng hợp pháp của Telegram làm kênh chỉ huy và liên lạc. Các thiết bị bị nhiễm sẽ kết nối với những bot Telegram do tin tặc lập ra. Thông qua đó, kẻ điều khiển có thể gửi lệnh từ xa như chụp ảnh màn hình, ghi âm, thu thập tài liệu hoặc lục soát các thư mục cụ thể trên máy tính nạn nhân.
Dữ liệu bị đánh cắp không được chuyển qua các kênh bất thường, mà được nén, mã hóa và đẩy ra ngoài qua chính hạ tầng Telegram. Đây là điểm mấu chốt của phương thức tấn công. Việc sử dụng nền tảng hợp pháp khiến lưu lượng phát sinh khó bị phân biệt với hoạt động thông thường. Trong nhiều trường hợp, hệ thống bảo mật không đủ cơ sở để cảnh báo, tạo điều kiện để quá trình rò rỉ dữ liệu diễn ra liên tục mà không bị phát hiện.
Khi thiết bị trở thành công cụ gián điệp
Không dừng lại ở việc xâm nhập, chiến dịch này biến thiết bị của nạn nhân thành một trạm gián điệp hoạt động liên tục. Giá trị không còn nằm ở vài tệp dữ liệu bị đánh cắp, mà ở khả năng bám sát toàn bộ hoạt động thông tin quanh mục tiêu. Khi quyền kiểm soát đã bị chiếm, thiết bị không còn là công cụ cá nhân, mà trở thành điểm thu thập tình báo theo thời gian thực.
Mã độc không chỉ dừng ở việc sao chép các tệp tin có sẵn, mà trực tiếp chiếm quyền kiểm soát màn hình, micro và camera của thiết bị. Hình ảnh trên màn hình được ghi lại định kỳ, cho phép đối tượng theo dõi toàn bộ thao tác của người dùng, kể cả những nội dung vốn được bảo vệ bằng mã hóa hoặc các mật khẩu đang được nhập. Cùng với đó, micro và camera có thể bị kích hoạt trong các cuộc gọi trực tuyến, khiến nội dung trao đổi, từ họp nội bộ đến thông tin nhạy cảm, bị ghi lại mà không tạo ra dấu hiệu cảnh báo rõ ràng.
Trong môi trường tình báo, đây là mức độ xâm nhập đặc biệt nguy hiểm. Bởi theo dõi đủ lâu không chỉ cho phép đối phương biết một cá nhân đang làm gì, mà còn giúp chúng dựng lại cách một cơ quan, một tổ chức, thậm chí cả một mạng lưới vận hành, phối hợp và ra quyết định. Khi đó, thông tin bị lộ không còn là những mảnh dữ liệu rời rạc, mà là toàn bộ logic hoạt động của mục tiêu.
Tuy nhiên, giám sát mới chỉ là bước khởi đầu. Mục tiêu tiếp theo của chiến dịch là đưa khối dữ liệu thu thập được ra khỏi hệ thống theo cách kín đáo, hạn chế tối đa khả năng bị phát hiện. Chính ở giai đoạn này, cơ chế trích xuất dữ liệu bộc lộ rõ mức độ tinh vi.
Thay vì truyền đi một cách trực tiếp, dữ liệu bị đánh cắp được xử lý qua nhiều lớp: nén, mã hóa và thiết lập mật khẩu trước khi xuất ra ngoài. Quy trình này khiến phần lớn các hệ thống kiểm tra an ninh không thể phân tích nội dung, từ đó làm suy giảm hiệu quả của các cơ chế phát hiện truyền thống. Đáng chú ý, toàn bộ lưu lượng truyền tải lại được ngụy trang thông qua hạ tầng hợp pháp của Telegram. Khi đó, dữ liệu bị đánh cắp hòa lẫn vào các luồng trao đổi thông thường, khiến cả phần mềm bảo mật lẫn hệ thống giám sát mạng khó nhận diện dấu hiệu bất thường. Với phương thức này, kẻ tấn công có thể âm thầm rút trích khối lượng lớn dữ liệu nhạy cảm trong thời gian dài, gần như không để lại dấu vết rõ ràng.
Vì sao các ứng dụng nhắn tin trở thành “mặt trận” tấn công?
Những năm gần đây, Telegram đã trở thành một trong những nền tảng liên lạc phổ biến đối với quan chức chính phủ, nhà ngoại giao, quân nhân và nhà báo trên toàn thế giới. Chính mức độ phổ biến này khiến ứng dụng trở thành mục tiêu ưu tiên của các nhóm tin tặc.
Mỗi cuộc trò chuyện bị lộ không chỉ chứa nội dung tin nhắn, mà còn phản ánh cấu trúc liên lạc của cả một mạng lưới: ai trao đổi với ai, vào thời điểm nào và trong bối cảnh gì. Khi được phân tích theo thời gian, những dữ liệu này có thể hé lộ cách thông tin được truyền đi, các mối quan hệ đang tồn tại và thậm chí cả quá trình hình thành quyết định bên trong tổ chức. Với các cơ quan tình báo, khả năng tái dựng dòng chảy thông tin như vậy đôi khi có giá trị không kém việc tiếp cận trực tiếp tài liệu mật.
Khi các ứng dụng nhắn tin ngày càng được gia cố về bảo mật, phương thức tấn công cũng dịch chuyển. Thay vì tìm cách phá vỡ các lớp mã hóa phức tạp, tin tặc tập trung vào điểm yếu dễ khai thác hơn: người dùng. Một khi quyền truy cập bị chiếm đoạt, các cơ chế bảo mật kỹ thuật gần như mất tác dụng. Khi đó, kẻ tấn công không còn đứng ngoài hệ thống, mà đã hiện diện ngay bên trong cuộc trò chuyện.
Ông Cody Barrow, cựu quan chức tình báo quốc phòng Mỹ từng làm việc tại Lầu Năm Góc và Cơ quan An ninh Quốc gia Mỹ (NSA), nhận định rằng các nhóm tin tặc không cần phải phá vỡ hệ thống mã hóa của ứng dụng nhắn tin. “Chỉ cần truy cập được vào tài khoản người dùng, họ có thể theo dõi toàn bộ cuộc trò chuyện, lập bản đồ mạng lưới liên lạc và thu thập thông tin tình báo theo thời gian”.
Dù Telegram cho biết luôn nỗ lực phát hiện và loại bỏ các tài khoản liên quan đến mã độc, giới chuyên gia bảo mật vẫn khuyến cáo người dùng không tải bất kỳ tệp tin nào từ nguồn chưa được xác thực, đồng thời áp dụng xác thực đa lớp để giảm thiểu nguy cơ bị xâm nhập. Tuy nhiên, ở cấp độ tổ chức, vấn đề không thể dừng ở những cảnh báo mang tính cá nhân, mà đòi hỏi một cách tiếp cận toàn diện hơn về quản trị an ninh thông tin, nơi con người, quy trình và công nghệ phải được đặt trong cùng một hệ thống kiểm soát.
Theo khuyến nghị của FBI, các đơn vị quản trị mạng cần siết chặt cơ chế giám sát đối với các kết nối đến hạ tầng điện toán đám mây và các ứng dụng nhắn tin thương mại. Việc phát hiện sớm những dấu hiệu bất thường, đặc biệt là lưu lượng dữ liệu tăng đột biến tới các địa chỉ API của Telegram từ những máy trạm không có thẩm quyền, không chỉ giúp ngăn chặn nguy cơ rò rỉ dữ liệu, mà còn là tuyến phòng thủ quan trọng để nhận diện sớm các hoạt động xâm nhập có chủ đích.
Trong bối cảnh các chiến dịch tấn công ngày càng tinh vi và khó nhận diện, khoảng cách giữa “một hành vi bất thường” và “một sự cố an ninh nghiêm trọng” có thể chỉ được tính bằng thời gian phản ứng. Khi đó, năng lực phát hiện sớm và kiểm soát từ bên trong hệ thống không còn là lựa chọn, mà trở thành yếu tố quyết định liệu một tổ chức có giữ được an toàn thông tin của mình hay không.
Mỹ: Dùng mã độc rút tiền từ ATM 
