Chiến dịch tấn công đầu tiên
Là một phần của chiến dịch đầu tiên được phát hiện vào tháng 11/2022, các tin tặc đã nhắm mục tiêu đến người dùng iOS và Android bằng các chuỗi khai thác riêng biệt.
Đáng chú ý, tin tặc đã gửi các liên kết rút gọn bit.ly qua tin nhắn SMS tới người dùng ở Ý, Malaysia và Kazakhstan. Khi được nhấp vào, các URL sẽ chuyển hướng nạn nhân đến các trang web lưu trữ các khai thác trên Android và iOS trước khi họ được chuyển hướng đến các trang web theo dõi bán hàng hoặc tin tức hợp pháp.
Lỗ hổng sandbox escape (CVE-2021-30900), lỗi thực thi mã từ xa WebKit iOS (CVE-2022-42856) và lỗi bỏ qua xác thực con trỏ (PAC) chỉ là một vài trong số rất nhiều lỗi mà chuỗi khai thác tận dụng. Tin tặc đã giảm khối lượng payload trên các thiết bị iOS bị xâm nhập, cho phép chúng theo dõi vị trí của nạn nhân và cài đặt các tệp.IPA (tệp lưu trữ ứng dụng iOS).
Là một phần của chiến dịch, một chuỗi khai thác Android cũng được sử dụng để tấn công các thiết bị có GPU ARM bằng lỗ hổng tràn bộ đệm heap trong trình duyệt web Chrome (CVE-2022-4135), một lỗi leo thang đặc quyền ARM (CVE-2022-38181) và lỗi Chrome type (CVE-2022-3723) với một payload không xác định.
Theo nhà nghiên cứu Clément Lecigne của Google Tag, các nhà cung cấp như Pixel, Samsung, Xiaomi, Oppo và một số hãng công nghệ khác đã không tích hợp các bản vá bảo mật khi ARM phát hành bản sửa lỗi cho CVE-2022-38181, dẫn đến tình trạng các tin tặc có thể tự do khai thác các lỗi trong vài tháng.
Chiến dịch tấn công thứ hai nhắm vào người dùng Samsung
Sau khi các nhà nghiên cứu của Google TAG tìm thấy một chuỗi khai thác bao gồm một số lỗi zero-day và n-day, nhắm mục tiêu đến các phiên bản cập nhật mới nhất trên Trình duyệt Internet của Samsung, các khai thác được phân phối dưới dạng liên kết một lần qua SMS tới các thiết bị ở UAE. Chiến dịch thứ hai được phát hiện vào tháng 12/2022.
Các mục tiêu đã được chuyển hướng đến các trang khai thác tương tự như những trang được sử dụng bởi công ty phần mềm gián điệp Variston IT của Tây Ban Nha. Chuỗi khai thác cuối cùng đã triển khai thành công bộ công cụ phần mềm gián điệp dựa trên C++ dành cho Android, với các thư viện toàn diện được tạo để giải mã và trích xuất dữ liệu từ nhiều ứng dụng trình duyệt và trò chuyện.
Các lỗ hổng bị khai thác bao gồm CVE-2022-4262, CVE-2022-3038, CVE-2022-22706, CVE-2023-0266 và CVE-2023-26083. Một khách hàng hoặc đối tác của Variston IT được cho là đã sử dụng chuỗi khai thác này.
"Cả hai chiến dịch đều được nhắm mục tiêu cao và các tin tặc đã lợi dụng khoảng thời gian bản vá giữa thời điểm phát hành bản sửa lỗi và thời điểm nó thực sự được triển khai trên các thiết bị được nhắm mục tiêu. Theo Lecigne, các chiến dịch này cũng có thể chỉ ra rằng các khai thác và kỹ thuật đang được chia sẻ giữa các nhà cung cấp giám sát, cho phép phổ biến các công cụ tấn công nguy hiểm.
Liên quan đến hai chiến dịch, Tổ chức Ân xá Quốc tế cũng đã công bố các chi tiết liên quan đến các tên miền và cơ sở hạ tầng được sử dụng trong các cuộc tấn công, đồng thời cho biết trong một báo cáo: "Chiến dịch phần mềm gián điệp mới được phát hiện đã hoạt động ít nhất từ năm 2020 và nhắm mục tiêu vào các thiết bị di động và máy tính để bàn, bao gồm cả người dùng hệ điều hành Android của Google."
"Phần mềm gián điệp và khai thác zero-day đã được phân phối từ một mạng lưới rộng lớn gồm hơn 1000 tên miền độc hại, bao gồm cả tên miền giả mạo các trang web truyền thông ở nhiều quốc gia."
Điều này cho thấy rằng quy mô của hai chiến dịch và bản chất của các mục tiêu hiện chưa được xác định cụ thể. Những tiết lộ này được đưa ra chỉ vài ngày sau khi chính phủ Hoa Kỳ công bố một Sắc lệnh hành pháp hạn chế các cơ quan liên bang sử dụng phần mềm gián điệp thương mại gây rủi ro an ninh quốc gia.
Google tiếp tục theo dõi các nhà cung cấp phần mềm gián điệp
Để triển khai nhiều công cụ độc hại trên các thiết bị dễ bị tấn công, Google đang nỗ lực theo dõi thị trường phần mềm gián điệp, các công nghệ giám sát và lỗ hổng zero-day mà các tin tặc khai thác.
Theo Lecigne, mặc dù việc sử dụng các công nghệ giám sát có thể hợp pháp theo luật pháp ở cấp quốc gia hoặc quốc tế, nhưng các chính phủ thường sử dụng chúng để nhắm mục tiêu vào những người bất đồng chính kiến, nhà báo, nhân viên nhân quyền và các chính trị gia của đảng đối lập.
Google đã thông báo vào tháng 5 năm2022 rằng họ đang tích cực theo dõi hơn 30 nhà cung cấp giám sát mạng thương mại khác nhau được biết là bán cho các nhóm tin tặc do chính phủ tài trợ trên toàn thế giới để thực hiện các cuộc tấn công phần mềm gián điệp có mục tiêu. Một chiến dịch tấn công cũng được Google TAG đưa ra ánh sáng trong tháng này, trong đó một số nhóm tin tặc được chính phủ tài trợ đã khai thác 5 lỗ hổng zero-day để cài đặt phần mềm gián điệp Predator do Cytrox tạo.
Theo Google, một số nhà cung cấp dịch vụ Internet (ISP) được phát hiện đã hỗ trợ nhà cung cấp phần mềm gián điệp RCS Labs của Ý để tiến hành lây nhiễm trên các thiết bị của người dùng Android và iOS ở Ý và Kazakhstan bằng các công cụ giám sát thương mại vào tháng 6/2022.
"Những chiến dịch này là một lời nhắc nhở rằng ngành công nghiệp phần mềm gián điệp thương mại vẫn đang phát triển mạnh. Ngay cả các nhà cung cấp dịch vụ giám sát nhỏ hơn cũng có quyền truy cập vào lỗ hổng zero-day và sử dụng các lỗ hổng zero -day một cách bí mật sẽ dẫn đến rủi ro nghiêm trọng cho Internet, Lecigne nhận xét.
Google đã nhanh chóng phát hành các bản vá cho tất cả các lỗ hổng mà họ đã báo cáo cho các nhà cung cấp, và họ đã xác nhận rằng họ đã làm như vậy.
Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống
Nguồn tin: antoanthongtin.vn
Tham gia bình luận