Phần mềm gián điệp Pegasus sử dụng iPhone Zero-Click iMessage Zero-Day

Cơ quan giám sát an ninh mạng Citizen Lab đã phát hện các tình huống ​​khai thác lỗi bảo mật zero-day mới là FORCEDENTRY được triển khai thành công trên phiên bản iOS 14.4 & 14.6, vượt qua tính năng hộp cát BlastDoor của Apple để cài đặt phần mềm gián điệp trên iPhone của các nhà hoạt động Bahrain – và một người sống ở London vào thời điểm đó.

Theo cơ quan giám sát an ninh mạng Citizen Lab, một phương thức khai thác iMessaging không nhấp chuột chưa từng thấy trước đây đã được cho là được sử dụng để theo dõi bất hợp pháp các nhà hoạt động Bahrain bằng phần mềm gián điệp Pegasus của NSO Group, theo cơ quan giám sát an ninh mạng Citizen Lab.

Các nhà nghiên cứu kỹ thuật số gọi việc khai thác iMessaging mới này là FORCEDENTRY.

Trong một báo cáo được công bố hôm thứ Ba, các nhà nghiên cứu cho biết họ đã xác định được 9 nhà hoạt động người Bahrain có iPhone bị nhiễm phần mềm gián điệp Pegasus trong khoảng thời gian từ tháng 6 năm 2020 đến tháng 2 năm 2021. Một số điện thoại của các nhà hoạt động bị tấn công iMessage không nhấp chuột, ngoài FORCEDENTRY, còn gồm khai thác KISMET năm 2020 .

Ít nhất bốn trong số các mục tiêu đã bị tấn công bởi LULU : một nhà điều hành Pegasus mà Citizen Lab cho rằng “có độ tin cậy cao” đối với chính phủ Bahrain, vốn có lịch sử sử dụng phần mềm gián điệp có sẵn trên thị trường.

Một trong những nhà hoạt động đã bị nhắm mục tiêu vào năm 2020 vài giờ sau khi họ tiết lộ trong một cuộc phỏng vấn rằng điện thoại của họ đã bị nhiễm Pegasus vào năm 2019.

Tính năng Khai thác Zero-Click trên iPhone mới xuất hiện vào tháng 2

Citizen Lab lần đầu tiên quan sát thấy NSO Group triển khai khai thác FORCEDENTRY iMessage không nhấp chuột mới – loại bỏ tính năng BlastDoor của Apple – vào tháng 2 năm 2021. Apple vừa giới thiệu BlastDoor , một cải tiến về cấu trúc trong iOS 14 chặn khai thác dựa trên tin nhắn, không nhấp chuột như thế này vào tháng trước. BlastDoor được cho là phải ngăn chặn kiểu tấn công Pegasus bằng cách hoạt động như Samuel Groß của Google Project Zero gọi là  dịch vụ “hộp cát chặt chẽ” chịu trách nhiệm về “gần như tất cả” việc phân tích cú pháp dữ liệu không đáng tin cậy trong iMessages.

Phản hồi của Apple

Ivan Krstić, người đứng đầu Kiến trúc và Kỹ thuật Bảo mật của Apple, nói với Threatpost hôm thứ Ba rằng các cuộc tấn công như những cuộc tấn công được Citizen Lab mô tả là có mục tiêu rất cao và do đó không có gì phải lo lắng… đối với hầu hết mọi người, ở bất kỳ mức độ nào. Trong một tuyên bố, Krstić nói rằng các cuộc tấn công như vậy “rất tinh vi, tốn hàng triệu đô la để phát triển, thường có thời hạn sử dụng ngắn và được sử dụng để nhắm mục tiêu vào các cá nhân cụ thể.”

Do đó, chúng “không phải là mối đe dọa đối với phần lớn người dùng của chúng tôi”, Krstić viết, mặc dù Apple tiếp tục “cố gắng bảo vệ tất cả khách hàng của mình và liên tục bổ sung các biện pháp bảo vệ mới cho thiết bị và dữ liệu của họ”.

Một phát ngôn viên khác của Apple lưu ý với Threatpost rằng BlastDoor không phải là cuối cùng, là tất cả khi nói đến việc bảo mật iMessage, rằng Apple đã tăng cường đáng kể khả năng phòng thủ trong iOS 15 và sẽ tiếp tục làm như vậy. Người phát ngôn cho biết: Bảo mật là một quy trình năng động và Apple không ngừng nỗ lực để ứng phó với các mối đe dọa mới khi chúng xuất hiện.

Phải làm gì nếu bạn không phải là ‘hầu hết mọi người’

Bên cạnh iMessage của Apple, NSO Group có thành tích khai thác các ứng dụng nhắn tin khác, chẳng hạn như WhatsApp , để phát tán phần mềm độc hại của họ. Tuy nhiên, Citizen Lab cho rằng trong trường hợp cụ thể này, với các cuộc tấn công cụ thể này, việc vô hiệu hóa iMessage và FaceTime có thể đã ngăn cản các tác nhân đe dọa. Các nhà nghiên cứu lưu ý: “Vô hiệu hóa iMessage và FaceTime sẽ không cung cấp khả năng bảo vệ hoàn toàn khỏi các cuộc tấn công bằng không nhấp chuột hoặc phần mềm gián điệp.

Thêm vào đó, nó có những đánh đổi: “Vô hiệu hóa iMessage có nghĩa là các tin nhắn được trao đổi qua ứng dụng Tin nhắn tích hợp của Apple sẽ được gửi không được mã hóa (tức là ‘tin nhắn màu xanh lá cây’ thay vì ‘tin nhắn màu xanh lam’), khiến chúng trở nên tầm thường để kẻ tấn công chặn được”, theo vào báo cáo.

Tất nhiên, có những ứng dụng nhắn tin được mã hóa end-to-end khác cần xem xét khi nói đến việc giảm thiểu bề mặt tấn công của bạn. Taylor Gulley, cố vấn bảo mật ứng dụng cấp cao tại nhà cung cấp bảo mật ứng dụng nVisium, nói với Threatpost hôm thứ Ba rằng việc vô hiệu hóa các phương thức giao tiếp được sử dụng rộng rãi ít nhất có thể buộc những kẻ tấn công phải nhảy qua nhiều vòng hơn, vì nó buộc họ “đầu tư nhiều thời gian và nỗ lực hơn để khám phá khai thác cho những con đường còn lại. ”

Gulley lưu ý: Để giảm thiểu bề mặt tấn công thông qua tin nhắn, điều đó có nghĩa là giới hạn số lượng ứng dụng nhắn tin được cài đặt, chỉ chấp nhận tin nhắn từ các liên hệ đã biết và ngăn những tin nhắn nhận được tự động tìm nạp phương tiện. “Tất cả những điều này đóng vai trò là rào cản bổ sung giữa bạn và một tin nhắn độc hại.”

Gulley chỉ ra rằng đã có một số lỗ hổng trong những năm gần đây cho cả ứng dụng nhắn tin iOS và Android.

Hank Schless, giám đốc cấp cao về các giải pháp bảo mật của công ty bảo mật điểm cuối đến đám mây Lookout, lưu ý rằng có một phiên bản Android của Pegasus được gọi là Chrysaor, được phát hiện vào năm 2017 bởi Lookout và Google. Schless cho biết nó có các khả năng gần như chính xác trên Android giống như Pegasus trên iOS, bao gồm cả việc giành quyền truy cập root vào thiết bị mục tiêu và có thể đọc bất kỳ thứ gì trên thiết bị ngay cả khi nó nằm trong một ứng dụng có nhắn tin được mã hóa.

Chrysaor khác với Pegasus ở chỗ không dựa vào lỗ hổng zero-day để lây nhiễm các thiết bị . Thay vào đó chúng dựa trên một kỹ thuật nổi tiếng được gọi là Framaroot.

Tuy nhiên, chuỗi tấn công của cả Pegasus và Chrysaor đều giống nhau: “Kẻ tấn công gửi cho cá nhân được nhắm mục tiêu một thông điệp được thiết kế mang tính xã hội trên bất kỳ nền tảng nào có khả năng nhắn tin và âm thầm cung cấp phần mềm giám sát độc hại cho thiết bị,” ông mô tả. “Thật không may, điều này có nghĩa là các mục tiêu gặp rủi ro bất kể thiết bị của họ chạy trên hệ điều hành nào. Điều đó cũng có nghĩa là hầu như không có dữ liệu nào là an toàn, vì quyền truy cập root vào một thiết bị cho phép kẻ tấn công kiểm soát và truy cập vào mọi thứ ”.

Schless nói rằng việc cố gắng bẻ khóa hoặc root một thiết bị là một trong những dấu hiệu lớn nhất cho thấy phần mềm độc hại đang hiện diện trên thiết bị. Quản trị viên của các ứng dụng dành cho thiết bị di động – bao gồm cả Lookout – “có thể đặt các chính sách chặn thiết bị khỏi Internet và cảnh báo cho người dùng ngay khi phát hiện chức năng độc hại đó”, ông lưu ý.

Gulley cho biết một lựa chọn tốt hơn cả Android hoặc iOS là sử dụng một ứng dụng nhắn tin mã nguồn mở được xây dựng từ đầu với tính bảo mật, chẳng hạn như Signal. Điều đó mang lại cho bạn hai phương án dự phòng: “Tự kiểm tra mã với tư cách là người dùng hoặc ở một mức độ nào đó, dựa vào cộng đồng để kiểm tra mã cho bạn.”

Gulley đề xuất, ứng dụng nguồn mở không nhất thiết phải an toàn hơn ứng dụng độc quyền, nhưng ít nhất chúng có thể được kiểm tra độc lập. Nhà tư vấn nhận xét: “Bất chấp ý định tốt nhất của họ, việc bảo mật dữ liệu và thiết bị của bạn chỉ là thứ yếu đối với những công ty này – những người – hãy trung thực – cuối cùng vẫn ở đó để kiếm tiền từ quảng cáo, thiết bị và dịch vụ”. “Nếu những lỗ hổng zero-day này dễ dàng được phát hiện, chúng sẽ ít có khả năng được tạo ra ngay từ đầu. Điều này được thể hiện rõ ràng bởi thực tế là rất nhiều ứng dụng mã nguồn mở và mã nguồn đóng đã bị khai thác bởi các cuộc tấn công zero-day – một thực tế đáng tiếc sẽ tiếp tục diễn ra trong tương lai. ”

NSO Group cho biết trong một tuyên bố gửi cho Bloomberg rằng họ chưa xem báo cáo, nhưng dù sao, công ty vẫn đặt câu hỏi về phương pháp và động cơ của Citizen Lab. “Nếu NSO nhận được thông tin đáng tin cậy liên quan đến việc sử dụng sai hệ thống, công ty sẽ điều tra mạnh mẽ các khiếu nại và hành động phù hợp,” theo tuyên bố của mình.

Người phát ngôn của NSO Group nói rằng những câu hỏi này được giải quyết trong Báo cáo về tính minh bạch và trách nhiệm ( PDF ) của công ty , trong đó tuyên bố rằng kể từ năm 2016, họ đã cắt đứt 5 khách hàng sau một cuộc điều tra về việc lạm dụng. Cuốn sách nhỏ không xác định được khách hàng.

Schless của Lookout chỉ ra rằng kể từ khi Lookout và Citizen Lab lần đầu tiên phát hiện ra Pegasus vào năm 2016, NSO đã duy trì lập trường rằng phần mềm gián điệp của họ chỉ được bán cho một số ít cộng đồng tình báo tại các quốc gia đã được kiểm tra kỹ lưỡng về vi phạm nhân quyền. “Những tuyên bố chủ động của họ về Phòng thí nghiệm Công dân chỉ là một nỗ lực khác để duy trì câu chuyện này trên các phương tiện truyền thông,” ông nói. “Sự xuất hiện gần đây của 50.000 số điện thoại liên quan đến các mục tiêu của khách hàng của NSO Group là tất cả những gì mọi người cần để thấy đúng những gì NSO tuyên bố.”

Schless gọi Citizen Lab là “công ty hàng đầu trong lĩnh vực nghiên cứu bảo mật” “hợp tác công khai cùng với các tổ chức khu vực tư nhân để đảm bảo rằng thế giới nhận thức được các mối đe dọa trên Internet như một phương tiện để luôn an toàn và bảo mật hơn”.

Nguồn TPost

Trả lời

Please log in using one of these methods to post your comment:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Google photo

Bạn đang bình luận bằng tài khoản Google Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s