Cách phần mềm gián điệp Pegasus sử dụng iOS “Zero-Click” để theo dõi mục tiêu

Trong thời gian gần đây, hàng loạt các thiết bị iPhone 12 Pro Max chạy iOS 14.6 đang liên tục bị tấn công bằng cách khai thác iMessage "zero-click" để chạy phần mềm gián điệp Pegasus mà nhiều người vẫn không biết đến.

Một báo cáo mới được công bố ngày hôm qua đã cho chúng ta một cái nhìn đáng báo động về việc phần mềm gián điệp được bán bởi công ty giám sát NSO Group của Israel đã tham gia vào các cuộc tấn công có chủ đích nhằm vào các luật sư, nhà báo, chính trị gia đối lập và các nhà hoạt động trên khắp thế giới bởi nhiều chính phủ khác nhau. Trong khi NSO Group đã từng là trung tâm của nhiều báo cáo tương tự trong quá khứ, mức độ mà phần mềm gián điệp Pegasus của họ cho phép giám sát bất hợp pháp và vi phạm nhân quyền vẫn chưa được biết đầy đủ.

Cách phần mềm gián điệp Pegasus sử dụng iOS “Zero-Click” để theo dõi mục tiêu

Sau hàng loạt những cáo buộc này, hãng tiếp tục khẳng định Pegasus chỉ được sử dụng để "điều tra khủng bố và tội phạm" mà không để lại dấu vết. Tuy nhiên, báo cáo về phương pháp này được phát hành vào cuối tuần qua bởi hơn 17 tổ chức truyền thông ở 10 quốc gia với sự hỗ trợ kỹ thuật của Phòng thí nghiệm An ninh của Tổ chức Ân xá Quốc tế đã thực hiện phân tích chuyên sâu về một số thiết bị từ các nhà bảo vệ nhân quyền và nhà báo trên khắp thế giới, chứng minh điều đó không đúng.

Phần mềm độc hại Pegasus cho phép những kẻ tấn công (trả tiền cho các chính phủ trong hầu hết các trường hợp) lây nhiễm iPhone và thiết bị Android và trích xuất tin nhắn, ảnh, email, đọc nội dung của các ứng dụng liên lạc được mã hóa như Signal, thậm chí ghi âm cuộc gọi và bí mật kích hoạt micrô. Ít nhất 50.000 số điện thoại đã được NSO nhắm mục tiêu kể từ năm 2016 là "người quan tâm" của khách hàng của NSO.

Danh sách bao gồm "hàng trăm giám đốc điều hành doanh nghiệp, nhân vật tôn giáo, học giả, nhân viên tổ chức phi chính phủ, quan chức công đoàn và quan chức chính phủ, bao gồm các bộ trưởng nội các, tổng thống và thủ tướng", báo cáo của Guardian cho biết thêm. Danh sách cũng bao gồm hơn 180 nhà báo, bao gồm cả phóng viên tự do người Mexico, Cecilio Pineda Birto, người đã bị sát hại sau khi những kẻ giết người của anh ta có thể tìm thấy anh tại một tiệm rửa xe. Điện thoại của anh ta không bao giờ được phục hồi nên phân tích pháp y không thể xác nhận hoàn toàn liệu điện thoại của anh ta có bị nhiễm Pegasus hay không.

Phân tích pháp y về một số lượng nhỏ điện thoại có số xuất hiện trong danh sách bị rò rỉ cho thấy hơn một nửa có dấu vết của Pegasus. Tập trung vào điện thoại thông minh Android và iOS, hồ sơ pháp y cho thấy các cuộc tấn công bằng zero-click yêu cầu không tương tác từ mục tiêu. Một trong những phát hiện đáng báo động nhất của báo cáo này là ngay cả những chiếc iPhone mới nhất chạy phiên bản iOS mới nhất cũng đã được khai thác thành công.

"Gần đây nhất, một cuộc tấn công 'zero-click" thành công đã được quan sát thấy khai thác nhiều ngày 0 để tấn công một chiếc iPhone 12 được vá đầy đủ chạy iOS 14.6 vào tháng 7 năm 2021", Báo cáo về phương pháp pháp y của Tổ chức Ân xá Quốc tế có trụ sở tại Paris- được xem xét bởi Citizen Lab cho biết.

Phân tích pháp y đã tìm thấy bằng chứng cho thấy NSO đã khai thác lỗ hổng iMessage để xâm nhập ngay cả những thiết bị mới nhất chạy phiên bản iOS mới nhất. Mặc dù Apple tiếp tục nói rằng iPhone là điện thoại thông minh tiêu dùng an toàn nhất trên thị trường, nhưng việc khai thác bằng thao tác zero-click không giúp người tiêu dùng tin tưởng vào sản phẩm.

Cách phần mềm gián điệp Pegasus sử dụng iOS “Zero-Click” để theo dõi mục tiêu 2

Mặc dù trong hầu hết các trường hợp, các bản ghi được xóa bởi phần mềm độc hại hoặc được làm sạch sau khi khởi động lại, một trong những dấu vết mà Pegasus để lại trong một trường hợp cụ thể là các chuyển hướng đáng ngờ được ghi lại trong lịch sử duyệt web của Safari, bao gồm cả chuyển hướng đến miền free247downloads [.] Com. Những chuyển hướng này không chỉ xảy ra khi mục tiêu đang sử dụng trình duyệt mà còn khi sử dụng các ứng dụng khác.

Trong một trường hợp, khi mục tiêu đang xem trước một liên kết được chia sẻ trong dòng thời gian Twitter của mình, dịch vụ  com.apple.SafariViewService  đã được gọi để tải Safari WebView và chuyển hướng đã xảy ra.

Tuy nhiên, chuyển hướng duyệt web không phải là dấu hiệu thỏa hiệp duy nhất vì báo cáo đã tiết lộ nhiều cách khác nhau để phát hiện dấu vết có thể để lại sau Pegasus.

Các liên kết độc hại không còn là cuộc tấn công nữa - bằng chứng về nhiều trường hợp lây nhiễm bằng không nhấp chuột thành công vào năm 2021

Tin nhắn SMS cung cấp các liên kết độc hại là chiến thuật lựa chọn của NSO Group để cung cấp phần mềm gián điệp của họ vài năm trước. Tuy nhiên, điều đó dường như đã thay đổi thành chèn ép mạng như một "phương tiện tấn công hiệu quả và tiết kiệm chi phí cho mục đích sử dụng trong nước, đặc biệt là ở các quốc gia có đòn bẩy đối với các nhà khai thác di động."

Đối với các mục tiêu không thuộc địa phương, các lỗ hổng iOS trong iMessage và FaceTime đang được khai thác để tấn công các khách hàng nước ngoài. Trong một trường hợp, Apple Music cũng được tận dụng để cung cấp Pegasus.

Hiện tại, Amnesty Intl tin rằng "Pegasus hiện đang được phân phối thông qua khai thác không nhấp chuột vẫn hoạt động thông qua phiên bản iOS mới nhất có sẵn tại thời điểm viết bài (tháng 7 năm 2021)." AI cũng đã nhìn thấy iPhone XR bị xâm phạm (ngày 16 tháng 6 năm 2021) của một nhà báo Ấn Độ chạy iOS 14.6, phiên bản mới nhất và iPhone X (ngày 14 tháng 6 năm 2021) của một nhà hoạt động, cũng chạy iOS 14.6.

Cách phần mềm gián điệp Pegasus sử dụng iOS “Zero-Click” để theo dõi mục tiêu 3

Pegasus đã bắt đầu ẩn dấu vết của mình bằng cách tránh tồn tại trên iOS

Phân tích pháp y cũng cho thấy phần mềm gián điệp hiện đã bắt đầu thao túng cơ sở dữ liệu hệ thống để che giấu dấu vết của nó và cản trở bất kỳ nghiên cứu nào có thể xem xét các liên kết tiềm ẩn giữa nạn nhân và phần mềm gián điệp của NSO. Trong một nỗ lực như vậy, phần mềm gián điệp Pegasus không còn duy trì sự bền bỉ trên các thiết bị iOS.

Mặc dù điều đó có nghĩa là phải gỡ bỏ sau khi khởi động lại, nhưng nó cũng cho thấy NSO tự tin vào khả năng tấn công của mình để liên tục nhắm mục tiêu thành công cùng một khách hàng.

Cách phần mềm gián điệp Pegasus sử dụng iOS “Zero-Click” để theo dõi mục tiêu 4

Apple hôm nay đã phát hành iOS 14.7 , có khả năng sửa một số lỗ hổng trong iMessage, FaceTime, WebKit và các góc khác của hệ điều hành. Tuy nhiên, có một số lỗ hổng cơ bản trong cách bảo mật người dùng hiện đang được giảm giá bởi các công ty công nghệ lớn nhất thế giới.

Các nhà nghiên cứu bên ngoài cũng đã thẳng thắn về việc Apple thiếu hỗ trợ khi công ty hạn chế quyền truy cập vào iOS, khiến mọi cuộc điều tra trở nên khó khăn hơn. Họ cũng phàn nàn về việc Apple thiếu giao tiếp và phần thưởng tiền thưởng lỗi nhỏ hơn khi so sánh với các công ty khác.

Công ty cũng đã thiếu sót đáng kể trong việc theo dõi hoạt động của những kẻ tấn công tinh vi như NSO Group, những kẻ dường như luôn đi trước ngay cả những chiếc iPhone và bản cập nhật phần mềm mới nhất được Apple giới thiệu.

"Trong hơn một thập kỷ, Apple đã dẫn đầu ngành công nghiệp đổi mới bảo mật và kết quả là các nhà nghiên cứu bảo mật đồng ý rằng ‌iPhone‌ là thiết bị di động tiêu dùng an toàn nhất, bảo mật nhất trên thị trường", Apple hôm nay cho biết trước những tiết lộ này. "Các cuộc tấn công như những cuộc tấn công được mô tả là rất tinh vi, tốn hàng triệu đô la để phát triển, thường có thời hạn sử dụng ngắn và được sử dụng để nhắm mục tiêu vào các cá nhân cụ thể." Tuy nhiên, công ty khẳng định rằng họ đang làm việc "không mệt mỏi" để bảo vệ tất cả các khách hàng của mình.

Tin liên quan

Tin đọc nhiều nhất

Tin mới trong ngày

Lên đầu trang