Mới đây, Nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky (GReAT) đã tiết lộ quá trình điều tra về chiến dịch Operation Triangulation tại Hội nghị thượng đỉnh phân tích bảo mật (SAS).
Các chuyên gia đã giới thiệu các phát hiện mới xung quanh các lỗ hổng iOS và cách khai thác làm cơ sở điều tra cuộc tấn công này, đồng thời cung cấp phân tích về chiến dịch nhắm mục tiêu vào cả công chúng và nhân viên của Kaspersky.
Trước đó vào tháng 6 năm nay, Kaspersky đã phát hiện một chiến dịch tấn công APT nhắm mục tiêu vào các thiết bị iOS. Với tên gọi ‘Operation Triangulation’, chiến dịch này sử dụng một phương pháp tinh vi để thực hiện các hoạt động khai thác zero-click qua iMessage chạy phần mềm độc hại và giành quyền kiểm soát hoàn toàn đối với thiết bị và dữ liệu của người dùng. Nhóm GReAT đánh giá rằng mục tiêu chính của những kẻ tấn công có thể liên quan đến việc bí mật theo dõi người dùng, thậm chí ảnh hưởng đến nhân viên của Kaspersky. Do sự phức tạp của cuộc tấn công và tính chất khép kín của hệ sinh thái iOS, một nhóm đặc nhiệm đã dành nhiều thời gian và nguồn lực đáng kể để tiến hành phân tích kỹ thuật chi tiết.
Tại SAS, các chuyên gia Kaspersky đã công khai những chi tiết chưa được tiết lộ trước đây về chuỗi tấn công lợi dụng 5 lỗ hổng với 4 trong số đó là các lỗ hổng zero-day chưa được biết đến trước đây và đã được vá sau khi các nhà nghiên cứu Kaspersky gửi chúng cho Apple.
Cụ thể, các chuyên gia đã xác định điểm xâm nhập ban đầu thông qua lỗ hổng thư viện xử lý phông chữ. Lỗ hổng thứ hai cực kỳ mạnh và dễ bị khai thác trong mã vùng nhớ ánh xạ trên không gian bộ nhớ, cho phép truy cập vào bộ nhớ vật lý của thiết bị. Ngoài ra, những kẻ tấn công còn khai thác thêm hai lỗ hổng khác để vượt qua các tính năng bảo mật phần cứng của bộ xử lý mới nhất của Apple. Các nhà nghiên cứu cũng phát hiện ra rằng, ngoài khả năng lây nhiễm từ xa trên các thiết bị Apple thông qua iMessage mà không cần sự tương tác của người dùng, những kẻ tấn công còn có một nền tảng khác để thực hiện các cuộc tấn công thông qua trình duyệt web Safari. Điều này đã thúc đẩy việc phát hiện và sửa chữa lỗ hổng thứ năm.
Nhóm Apple đã chính thức phát hành các bản cập nhật bảo mật, giải quyết bốn lỗ hổng zero-day được các nhà nghiên cứu của Kaspersky phát hiện (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990). Những lỗ hổng này đã ảnh hưởng đến nhiều sản phẩm thuộc hệ sinh thái của Apple, bao gồm iPhone, iPod, iPad, thiết bị macOS, Apple TV và Apple Watch.
Ông Boris Larin, Trưởng nhóm các Nhà nghiên cứu bảo mật tại GReAT của Kaspersky chia sẻ: “Các tính năng bảo mật dựa trên phần cứng của các thiết bị sử dụng chip Apple mới có thể tăng cường khả năng phục hồi trước các cuộc tấn công mạng đáng kể. Nhưng điều đó không có nghĩa là chúng bất khả xâm phạm. Operation Triangulation đóng vai trò như một lời nhắc nhở rằng người dùng hãy thận khi xử lý các tệp đính kèm iMessage từ các nguồn không quen thuộc. Việc rút ra những hiểu biết sâu sắc từ các chiến lược được sử dụng trong Operation Triangulation có thể mang lại những hướng dẫn có giá trị. Ngoài ra, việc tìm kiếm sự cân bằng giữa tính khép kín và khả năng truy cập của hệ thống có thể góp phần nâng cao tình trạng bảo mật”.
Mặc dù đa số các nạn nhân của Kaspersky bao gồm quản lý cấp cao và cấp trung của công ty cũng như các nhà nghiên cứu có trụ sở tại Nga, Châu Âu và META nhưng công ty không phải là mục tiêu duy nhất của cuộc tấn công.
Cùng với việc xuất bản bài báo cáo và phát triển tiện ích Triangle_check chuyên dụng, các chuyên gia của GReAT đã thiết lập một địa chỉ email để bất kỳ bên quan tâm nào cũng có thể đóng góp cho cuộc điều tra. Do đó, các nhà nghiên cứu đã nhận về các trường hợp cá nhân trở thành nạn nhân của chiến dịch Operation Triangulation và họ đã cung cấp cho những nạn nhân đó hướng dẫn về cách tăng cường bảo mật.
Ông Igor Kuznetsov, Giám đốc Nhóm Nghiên cứu & Phân tích Toàn cầu (GReAT) tại Kaspersky chia sẻ: “Bảo vệ hệ thống khỏi các cuộc tấn công mạng nâng cao không phải là một nhiệm vụ dễ dàng và thậm chí còn phức tạp hơn đối với các hệ thống khép kín như iOS. Đó là lý do tại sao việc triển khai các biện pháp bảo mật nhiều lớp để phát hiện và ngăn chặn những cuộc tấn công như vậy là hết sức quan trọng”.
Để tìm hiểu thêm về Operation Triangulation, hãy truy cập Securelist.com. Kaspersky sẽ làm sáng tỏ nhiều chi tiết kỹ thuật hơn trong tương lai gần, đồng thời cung cấp các mô tả chi tiết về phân tích của mình trên trang web.
Để phòng ngừa nguy cơ trở thành nạn nhân của một cuộc tấn công có chủ đích, các nhà nghiên cứu của Kaspersky khuyên người dùng thực hiện các biện pháp sau:
- Thường xuyên cập nhật hệ điều hành, ứng dụng và phần mềm chống vi-rút để luôn được bảo vệ khỏi các lỗ hổng tiềm ẩn và rủi ro bảo mật.
- Hãy thận trọng với các email, tin nhắn hoặc cuộc gọi yêu cầu cung cấp thông tin nhạy cảm. Xác minh danh tính người yêu cầu thông tin trước khi chia sẻ dữ liệu cá nhân nào hoặc nhấp vào các liên kết đáng ngờ.
- Cấp quyền truy cập về những thông tin tình báo các mối đe dọa mới nhất cho Trung tâm điều hành an ninh (SOC). Kaspersky Threat Intelligence Portal là một điểm truy cập duy nhất của Kaspersky cung cấp thông tin tình báo các mối đe dọa, dữ liệu tấn công mạng và hiểu biết sâu sắc được đội ngũ chúng tôi thu thập trong hơn 20 năm.
- Nâng cao chất lượng đội ngũ an ninh mạng để giải quyết các mối đe dọa mới nhất với Khoá đào tạo trực tuyến Kaspersky được phát triển bởi các chuyên gia GreAT
- Để phát hiện, điều tra và khắc phục sự cố kịp thời ở cấp điểm cuối, hãy triển khai các giải pháp EDR như Kaspersky Endpoint Detection and Response.