Phân tích mới cho thấy Coruna không phải công cụ riêng lẻ mà là phiên bản tiến hóa từ chiến dịch Triangulation, có khả năng mở rộng tấn công trên diện rộng nhắm vào các thiết bị Apple.
Thông qua quá trình phân tích mã nguồn ở mức độ sâu, Đội ngũ Nghiên cứu và Phân tích Toàn cầu (GReAT) của Kaspersky đã phát hiện rằng bộ công cụ khai thác mang tên Coruna thực chất không phải là một tập hợp rời rạc, mà là phiên bản phát triển tiếp theo từ nền tảng từng được sử dụng trong chiến dịch tấn công mạng nổi tiếng Operation Triangulation. Theo đánh giá của các chuyên gia, những đoạn mã khai thác trong cả hai chiến dịch nhiều khả năng có cùng nguồn gốc phát triển.
Kết quả nghiên cứu cho thấy, trong số năm mã khai thác nhắm vào các lỗ hổng cấp nhân hệ điều hành, có một mã là phiên bản nâng cấp trực tiếp từ biến thể đã được phát hiện trong chiến dịch năm 2023. Bốn mã còn lại, bao gồm cả những biến thể xuất hiện sau khi chiến dịch Triangulation bị công bố, đều được xây dựng dựa trên cùng một nền tảng kỹ thuật. Sự tương đồng này không chỉ xuất hiện ở phần khai thác kernel mà còn lan rộng sang các thành phần khác của Coruna. Điều đó cho thấy đây là một hệ thống được duy trì và phát triển liên tục, thay vì các đoạn mã riêng lẻ được ghép nối ngẫu nhiên.
Đáng chú ý, các mã khai thác này có thể hoạt động trên nhiều nền tảng phần cứng mới của Apple, bao gồm các dòng chip A17, M3, M3 Pro và M3 Max, đồng thời tương thích với các phiên bản iOS đến 17.2 – những bản phát hành mới trong giai đoạn cuối năm 2023. Ngoài ra, mã còn tích hợp cơ chế kiểm tra riêng đối với iOS 16.5 beta 4, vốn là phiên bản Apple từng phát hành nhằm khắc phục các lỗ hổng được Kaspersky công bố trước đó.
Ông Boris Larin, chuyên gia nghiên cứu bảo mật cấp cao tại GReAT, cho biết ở thời điểm Coruna lần đầu được công bố, chưa có đủ cơ sở để xác nhận mối liên hệ với Triangulation, bởi việc khai thác cùng một lỗ hổng không đồng nghĩa với việc có chung tác giả. Tuy nhiên, sau khi tiến hành phân tích trực tiếp các tệp nhị phân, bức tranh đã trở nên rõ ràng hơn. Theo ông, Coruna không đơn thuần là tập hợp các mã khai thác công khai, mà là một phiên bản nâng cấp liên tục từ nền tảng ban đầu của chiến dịch Triangulation. Việc bổ sung khả năng nhận diện các bộ vi xử lý mới và các phiên bản iOS gần đây cho thấy những kẻ đứng sau đang tích cực mở rộng công cụ tấn công. Nếu như trước đây công cụ này chủ yếu phục vụ các chiến dịch gián điệp có mục tiêu cụ thể, thì hiện nay nó đã được điều chỉnh để có thể triển khai trên diện rộng.
Trước những rủi ro này, Kaspersky khuyến cáo người dùng iPhone cần nhanh chóng cập nhật hệ điều hành lên phiên bản mới nhất. Dù các lỗ hổng liên quan đã được Apple vá, nhưng những thiết bị chưa cài đặt bản cập nhật vẫn có thể trở thành mục tiêu tấn công.
Chiến dịch Operation Triangulation từng được công bố vào tháng 6/2023, là một cuộc tấn công có chủ đích quy mô lớn nhắm vào hệ sinh thái iOS. Kaspersky phát hiện chiến dịch này trong quá trình giám sát mạng nội bộ, khi nhiều thiết bị của nhân viên công ty bị nhắm mục tiêu. Qua đó, các chuyên gia đã xác định được bốn lỗ hổng zero-day ảnh hưởng đến nhiều sản phẩm của Apple.
Để giảm thiểu nguy cơ từ các cuộc tấn công có chủ đích, các chuyên gia bảo mật khuyến nghị doanh nghiệp và người dùng cần triển khai các biện pháp phòng vệ toàn diện. Trước hết, việc thiết lập hệ thống giám sát tập trung giúp theo dõi và phân tích các sự kiện an ninh trên toàn bộ hạ tầng. Song song đó, cần duy trì thói quen cập nhật hệ điều hành và phần mềm thường xuyên để kịp thời vá các lỗ hổng đã được công bố.
Ngoài ra, đội ngũ an ninh mạng cần được trao quyền giám sát sâu hơn đối với các mối đe dọa tiềm ẩn, kết hợp với việc sử dụng các nguồn dữ liệu tình báo an ninh để nâng cao khả năng phát hiện và phản ứng. Việc đào tạo kỹ năng thực chiến cho nhân sự cũng đóng vai trò quan trọng trong bối cảnh các cuộc tấn công ngày càng tinh vi.
Cuối cùng, việc triển khai các giải pháp bảo mật toàn diện, bao gồm khả năng phát hiện và phản ứng ở cấp độ điểm cuối, quản lý bản vá và bảo vệ môi trường đám mây, sẽ giúp doanh nghiệp nâng cao khả năng phòng thủ, phát hiện sớm và xử lý hiệu quả các mối đe dọa đang ẩn mình trong hệ thống.