Các mối đe dọa nâng cao đáng chú ý năm 2025

Nhóm nghiên cứu và phân tích toàn cầu của Kaspersky giám sát hơn 900 nhóm và hoạt động APT. Mỗi năm, nhóm nghiên cứu sẽ đánh giá các cuộc tấn công phức tạp và tinh vi nhất đã định hình nên bối cảnh mối đe dọa. Những hiểu biết sâu sắc này cho phép các chuyên gia bảo mật dự đoán các xu hướng mới nổi và xây dựng bức tranh rõ ràng hơn về bối cảnh APT trong thời gian tới. Dưới đây là các mối đe dọa nâng cao cần quan tâm trong năm 2025.

XU HƯỚNG PHÁT TRIỂN CỦA CÁC LIÊN MINH HACKTIVIST

Trong những năm gần đây, các nhóm tin tặc với mục đích chính trị (hacktivist) đã bắt đầu liên kết chặt chẽ các hoạt động của mình với các cuộc xung đột chính trị xã hội. Trong khi những nỗ lực ban đầu chủ yếu tập trung vào việc thu hút sự chú ý của công chúng, giờ đây các nhóm hacktivist theo đuổi các mục tiêu quan trọng hơn với tác động thực tế.

Năm 2024, chúng ta đã chứng kiến sự phát triển của chủ nghĩa hacktivism với các nhóm hình thành liên minh và diễn đàn có chung động cơ. Những liên minh này không chỉ giới hạn hoạt động ở các cuộc xung đột quân sự, mà chúng cũng xuất hiện để tham gia vào các sự kiện đang diễn ra thu hút sự chú ý của công chúng.

Mục tiêu chung của các nhóm tin tặc này có thể là tập hợp sức mạnh và thúc đẩy các hành vi độc hại, việc chia sẻ các công cụ và cơ sở hạ tầng cũng là một phần quan trọng của các liên minh như vậy, cho phép đạt được các mục tiêu tham vọng hơn. Hacktivist đã phát triển mạnh mẽ hơn với chiến lược này, vì vậy chúng ta có thể sẽ thấy nhiều chiến dịch có tổ chức và tác động lớn hơn trong tương lai.

GIA TĂNG CÁC CUỘC TẤN CÔNG VÀO THIẾT BỊ IOT

Các thiết bị IoT dự kiến sẽ gia tăng nhanh chóng từ 18 tỷ thiết bị hiện nay lên 32 tỷ vào năm 2030. Các thiết bị thông minh như máy ảnh, TV, camera trở nên phổ biến hơn, chúng sẽ thêm vô số kết nối mới vào Internet, mỗi kết nối đều tiềm ẩn lỗ hổng riêng.

Nhiều thiết bị IoT dựa vào máy chủ từ xa để điều khiển nhưng các hoạt động bảo mật của công ty quản lý các máy chủ này thường không rõ ràng, dẫn đến nguy cơ tấn công tiềm ẩn mới trên cơ sở hạ tầng của họ. Ngoài ra, các thiết bị IoT thường chạy trên các hệ thống nhúng có firmware dẫn đến việc dễ dàng phân tích để tìm lỗ hổng. Nhiều thiết bị cũ dựa vào các thư viện lỗi thời với các lỗ hổng bảo mật đã biết khiến chúng dễ bị khai thác.

Sự gia tăng các ứng dụng di động để kiểm soát các thiết bị này cũng tạo thêm một lớp rủi ro nữa. Với rất nhiều ứng dụng có sẵn, rất khó để xác minh tính hợp pháp của từng ứng dụng, tạo cơ hội cho kẻ tấn công phát tán các ứng dụng giả mạo để kiểm soát các thiết bị IoT. Rủi ro chuỗi cung ứng cũng gây ra mối lo ngại những kẻ xấu có thể cài phần mềm độc hại trong quá trình sản xuất. Vấn đề chính là chưa có biện pháp đối phó hiệu quả. So với năm ngoái, tình hình vẫn chưa được cải thiện và năm 2025 những kẻ tấn công có thể sẽ tiếp tục gia tăng tấn công vào lượng lớn thiết bị IoT này.

TĂNG CƯỜNG CÁC CUỘC TẤN CÔNG CHUỖI CUNG ỨNG VÀO CÁC DỰ ÁN NGUỒN MỞ

Một chiến dịch khét tiếng trong năm 2024 là Backdooring của XZ, một công cụ nén mã nguồn mở được sử dụng rộng rãi trong các bản phân phối Linux phổ biến. Tin tặc đã sử dụng kỹ nghệ xã hội để có được quyền truy cập vào môi trường phát triển phần mềm và không bị phát hiện trong nhiều năm. Trường hợp này làm nổi bật một số khía cạnh quan trọng của hệ sinh thái mã nguồn mở hiện tại, nơi nhiều dự án quan trọng được duy trì bởi chỉ một số ít nhà phát triển hoặc đôi khi chỉ một nhà phát triển duy nhất, những người thường không có khả năng chống lại các nhóm APT tinh vi do nhà nước tài trợ. Năm 2025, mặc dù những tổ chức có khả năng sẽ bắt đầu cải thiện việc giám sát các dự án nguồn mở nhưng chúng ta có thể sẽ thấy sự gia tăng về số lượng các cuộc tấn công chuỗi cung ứng.

PHẦN MỀM ĐỘC HẠI C++VÀ GO THÍCH ỨNG VỚI HỆ SINH THÁI NGUỒN MỞ

Khi các dự án nguồn mở ngày càng áp dụng các phiên bản mới nhất của C++ và Go, các tác nhân đe dọa sẽ cần phải điều chỉnh phần mềm độc hại của họ theo các ngôn ngữ được sử dụng rộng rãi này. Vào năm 2025, có thể chứng kiến sự gia tăng đáng kể các nhóm APT và tin tặc chuyển sang sử dụng các ngôn ngữ này, tận dụng sự phổ biến ngày càng tăng của chúng trong các dự án nguồn mở. C++ và Go sẽ trở thành ngôn ngữ phổ biến nhất để phát triển phần mềm độc hại vì kẻ tấn công sẽ khai thác điểm mạnh và điểm yếu của các ngôn ngữ này để xâm nhập vào hệ thống và vượt qua các biện pháp bảo mật.

MỞ RỘNG VIỆC SỬ DỤNG AI ĐỐI VỚI CÁC TÁC NHÂN CÓ LIÊN KẾT VỚI NHÀ NƯỚC

Việc sử dụng các mô hình ngôn ngữ lớn (LLM) sẽ trở thành một thông lệ chuẩn đối với những kẻ tấn công, tương tự như cách mà những quản trị viên bảo mật hệ thống ngày càng kết hợp AI và các công cụ học máy vào các chiến lược an ninh mạng của họ. Những kẻ tấn công có thể sẽ sử dụng LLM để do thám, LLM có thể tự động hóa quá trình xác định lỗ hổng và thu thập thông tin, giúp những kẻ tấn công dễ dàng tìm ra điểm yếu ở mục tiêu của chúng. Năm 2025, các nhóm tin tặc sẽ dựa nhiều hơn vào AI khi tạo các tập lệnh độc hại và tạo lệnh trong các hoạt động sau khi khai thác để tăng cơ hội thành công.

Kẻ tấn công cũng có khả năng sẽ cố gắng che giấu hoạt động của mình khỏi các công ty như OpenAI bằng cách tạo LLM cục bộ hoặc che giấu hành vi của mình trên các nền tảng công cộng, sử dụng nhiều tài khoản, thận trọng với thông tin đầu vào và giảm thiểu dữ liệu được chia sẻ với các nền tảng như Google, OpenAI, Microsoft,...

DEEPFAKE SẼ ĐƯỢC CÁC NHÓM APT SỬ DỤNG NHIỀU HƠN

Cần đặc biệt chú ý đến sự gia tăng của Deepfake vốn đang phát triển nhanh chóng và gây ra những rủi ro đáng kể. Trước đây, chúng ta thường tin tưởng vào video, hình ảnh và giọng nói là nguồn thông tin đáng tin cậy. Tuy nhiên, khi công nghệ Deepfake được cải thiện và dễ tiếp cận hơn thì niềm tin đó ngày càng bị thách thức.

Lý do khiến những cuộc tấn công này hiệu quả như vậy bắt nguồn từ tâm lý con người: Khi mọi người nghe thấy một giọng nói mà họ nhận ra, theo bản năng họ sẽ tin vào thông điệp đó. Trước đây, việc mạo danh giọng nói không được coi là mối đe dọa lớn, đó là lý do tại sao những vụ lừa đảo như vậy có thể rất thuyết phục. Tuy nhiên, sự ra đời của công nghệ AI đã hoàn toàn thay đổi mô hình này. Ngày nay, các dịch vụ mới có thể tạo ra Video Deepfake và bản ghi âm giọng nói chỉ từ một vài mẫu thực, dễ dàng thu thập trên Internet.

Năm 2025, APT sẽ càng tích hợp nhiều hơn công nghệ này vào bộ công cụ của chúng để mạo danh những cá nhân quan trọng, tạo ra các tin nhắn hoặc video có sức thuyết phục cao để lừa đảo nạn nhân, đánh cắp thông tin nhạy cảm hoặc thực hiện các hoạt động độc hại khác.

CÁC MÔ HÌNH AI CÓ BACKDOOR

Việc áp dụng rộng rãi các mô hình AI của các doanh nghiệp trong nhiều ngành công nghiệp khác nhau khiến các mô hình này ngày càng trở thành mục tiêu hấp dẫn đối với tội phạm mạng và các tác nhân đe dọa do nhà nước tài trợ. Việc phân phối rộng rãi các mô hình AI nguồn mở và được tinh chỉnh làm tăng nguy cơ các mô hình này bị trojan hóa hoặc cài backdoor.

Vào năm 2025, các nhóm APT rất có thể sẽ nhắm mục tiêu vào các mô hình AI và tập dữ liệu nguồn mở phổ biến, đưa vào mã độc hoặc các phần mềm khó phát hiện và được chia sẻ rộng rãi.

SỰ GIA TĂNG CỦA CÁC CUỘC TẤN CÔNG BYOVD TRONG CÁC CHIẾN DỊCH APT

BYOVD đã trở thành xu hướng tấn công vào năm 2024. Kỹ thuật này cho phép các tin tặc lợi dụng lỗ hổng trong trình điều khiển để leo thang đặc quyền, vượt qua các biện pháp bảo mật và triển khai các phần mềm độc hại tinh vi trong các chiến dịch mã độc tống tiền và APT.

Trình điều khiển đóng vai trò quan trọng trong việc giao tiếp giữa phần cứng và phần mềm, nhưng chúng cũng có thể là mục tiêu tấn công chính của tin tặc. Trình điều khiển dễ bị tấn công cho phép tin tặc thực thi mã độc với mức đặc quyền cao, có khả năng dẫn đến hoạt động do thám lâu dài, đánh cắp dữ liệu và xâm nhập mạng. Mặc dù một số nhà cung cấp bảo mật triển khai nhiều cơ chế khác nhau để ngăn chặn các cuộc tấn công như vậy, nhưng sự tinh vi của chúng rất khó để chống lại bằng các biện pháp bảo mật truyền thống. Các trình điều khiển này là phần mềm hợp pháp có thể cần thiết để tạo điều kiện cho chức năng hệ thống bình thường, khiến việc phân biệt mục đích sử dụng hợp pháp với mục đích sử dụng có hại trở nên khó khăn.

Xu hướng này sẽ tiếp tục vào năm 2025, khi những kẻ tấn công trở nên thành thạo hơn trong việc tận dụng các lỗ hổng cấp thấp, mức độ phức tạp của các cuộc tấn công như vậy có khả năng sẽ tăng lên và chúng ta có thể thấy các kỹ thuật tinh vi hơn nữa, chẳng hạn như khai thác trình điều khiển lỗi thời hoặc của bên thứ ba thường không được kiểm tra kỹ lưỡng về các lỗ hổng bảo mật.

KẾT LUẬN

Năm 2025 sẽ chứng kiến sự gia tăng các mối đe dọa APT phức tạp và đa dạng hơn. Từ sự gia tăng của các liên minh hacktivist, tấn công IoT đến khai thác chuỗi cung ứng và ứng dụng AI, cùng với sự trỗi dậy của Deepfake và kỹ thuật tấn công BYOVD càng làm phức tạp thêm bức tranh an ninh mạng, các cá nhân và tổ chức cần đặc biệt cảnh giác. Để đối phó hiệu quả với các mối đe dọa này, việc chủ động nắm bắt xu hướng và triển khai các biện pháp bảo mật tiên tiến sẽ là vô cùng cần thiết và là yếu tố quyết định đến sự an toàn của các tổ chức, doanh nghiệp.

TÀI LIỆU THAM KHẢO

[1]. https://securelist.com/ksb-apt-predictions-2025/114582/