Tại sao nó quan trọng: Apple đã đề cao kiến trúc bảo mật của iOS trong nhiều năm, nhưng bản chất bị khóa khiến các nhà nghiên cứu bảo mật khó kiểm tra hệ điều hành và phát hiện các dấu hiệu của một cuộc tấn công mạng. Đó là lý do tại sao ngay cả một công ty bảo mật được kính trọng như Kaspersky cũng có thể mất nhiều năm trong bóng tối về một chiến dịch phần mềm gián điệp nhắm vào các thiết bị công ty của mình.
Công ty an ninh mạng Nga Kaspersky cho biết họ đã đã phát hiện một cuộc tấn công “cực kỳ phức tạp” ảnh hưởng đến tất cả iPhone chạy phiên bản iOS 15.7 trở lên nhưng dường như chủ yếu nhắm vào các thiết bị iOS do ban quản lý và nhân viên chủ chốt của Kaspersky sở hữu.
Thời điểm của báo cáo trùng khớp với những cáo buộc công khai do tình báo Nga đưa ra đối với đối tác Hoa Kỳ. Cơ quan An ninh Liên bang của Điện Kremlin (FSB) khiếu nại rằng Apple đã hợp tác chặt chẽ với Cơ quan An ninh Quốc gia (NSA), cung cấp cho tổ chức này một cửa hậu để họ có thể cài đặt phần mềm gián điệp trên hàng nghìn chiếc iPhone của các nhà ngoại giao Nga, các thành viên NATO, Israel, Trung Quốc và một số nước thuộc Liên Xô cũ. các quốc gia.
Kaspersky đã biết về các khiếu nại của FSB nhưng không thể xác minh liệu có mối liên hệ nào giữa hai cuộc tấn công hay không. Công ty giải thích rằng mặc dù phần mềm gián điệp được FSB mô tả có vẻ giống với phần mềm gián điệp được tìm thấy trên điện thoại của cấp quản lý cấp cao và cấp trung, nhưng cơ quan Nga vẫn chưa cung cấp phân tích kỹ thuật về phần mềm độc hại được đề cập.
Về phía Apple, công ty từ chối bình luận về các cáo buộc nhưng muốn lưu ý rằng “chúng ta chưa bao giờ làm việc với bất kỳ chính phủ nào để chèn một cửa hậu vào bất kỳ sản phẩm nào của Apple và sẽ không bao giờ.”
Quay trở lại dòng phần mềm gián điệp được phát hiện bởi Kaspersky, có vẻ như đây là một ví dụ khác về cuộc tấn công không nhấp chuột. Các nhà nghiên cứu đặt tên cho nó là Triangulation để làm nổi bật rằng nó là một phần của chiến dịch xâm nhập lén lút sử dụng dấu vân tay canvasg để để lại một hình tam giác màu vàng trong bộ nhớ của thiết bị đích. Sau khi phân tích lưu lượng truy cập mạng công ty của riêng mình, công ty nhận thấy chiến dịch vẫn đang diễn ra và có thể đã hoạt động kể từ năm 2019.
Chuỗi tấn công bắt đầu bằng việc kẻ tấn công gửi cho nạn nhân một tin nhắn được soạn thảo đặc biệt thông qua dịch vụ iMessage của Apple. Sau khi nhận được, tệp đính kèm độc hại trong thư sẽ tự động bắt đầu khai thác mà không cần người được đề cập mở thư hoặc tệp đính kèm. Trước khi nạn nhân có cơ hội xóa tin nhắn, mã độc được thực thi thông qua khai thác sẽ tải xuống phần mềm gián điệp cho phép tin tặc truy cập sâu hơn vào thiết bị mục tiêu.
Các nhà nghiên cứu của Kaspersky đã có thể phân tích các thiết bị bị nhiễm bằng cách khôi phục dữ liệu từ các bản sao lưu được thực hiện bằng Bộ công cụ xác minh di động. Họ cũng lưu ý rằng phần mềm độc hại mà họ phát hiện sẽ không tồn tại trên thiết bị sau khi khởi động lại, mặc dù họ đã thấy bằng chứng về việc tái nhiễm đối với một số điện thoại bị ảnh hưởng.
Hiện vẫn chưa rõ lỗ hổng nào được sử dụng trong chuỗi tấn công. Tuy nhiên, Kaspersky tin rằng một trong những lỗ hổng này là lỗ hổng mở rộng kernel được theo dõi trong CVE-2022-46690 mà Apple đã vá vào tháng 12 năm 2022 với việc phát hành iOS/iPadOS 16.2. Vào thời điểm đó, công ty Cupertino cũng đã bắt đầu phân phối iOS 15.7.2 cho các thiết bị cũ hơn với các bản sửa lỗi cho một số lỗ hổng “bị khai thác tích cực” có nguy cơ cao.
Cũng cần lưu ý rằng những người tin rằng họ có nguy cơ bị tấn công mạng có mục tiêu cao có thể sử dụng một biện pháp bảo vệ cực đoan có tên là Chế độ khóa. Đây là một tính năng tùy chọn mà Apple đã giới thiệu với iOS 16 macOS Ventura, giúp hạn chế đáng kể bề mặt tấn công của tin tặc, với sự đánh đổi là các ứng dụng, trang web và tính năng cấp hệ điều hành sẽ không hoạt động như mong đợi.
Tín dụng hình ảnh: Ameen Almayuf, Maarten Dirkse
