Các nhà nghiên cứu đă rất bất ngờ khi phát hiện hàng ngh́n chiếc iPhone của công ty bảo mật Kaspersky tại Moscow đă bị tấn công bởi mă độc gián điệp suốt 4 năm liên tiếp.
Hàng ngh́n iPhone đă bị tấn công bằng mă độc suốt 4 năm với độ tinh vi rất cao. Ảnh: IDG.
Tờ ArsTechnica mới đây đă công bố nghiên cứu bất ngờ về một cuộc tấn công bằng mă độc gián điệp đă kéo dài hơn 4 năm qua. Nạn nhân bao gồm nhân viên của công ty bảo mật Kaspersky tại Moscow, các đại sứ quán và phái đoàn ngoại giao ở Nga.
Theo các nhà nghiên cứu, những hacker này có thể đă chiếm quyền truy cập ở mức chưa từng có bằng cách khai thác lỗ hổng trong một tính năng phần cứng ẩn mà rất ít ai ngoài Apple và các nhà cung cấp chip như ARM Holdings biết đến.
“Mức độ tinh vi của việc khai thác những tính năng ẩn cho thấy kẻ tấn công có tŕnh độ kỹ thuật rất cao. Phân tích của chúng tôi chưa biết làm thế nào mà kẻ tấn công lại biết đến những tính năng này. Chúng tôi đang đặt ra mọi khả năng có thể, bao gồm cả việc nhà phát hành vô t́nh để lộ trong các bản cập nhật firmware hoặc mă nguồn trước đây", nhà nghiên cứu Boris Larin của Kaspersky cho biết.
Phía Kaspersky cho biết, trong khoảng thời gian ít nhất 4 năm, quá tŕnh lây nhiễm mă độc đă được phát tán trong các tin nhắn iMessage cài đặt phần mềm độc hại, thông qua chuỗi khai thác phức tạp mà không yêu cầu người nhận thực hiện bất kỳ hành động nào.
Sau khi bị nhiễm, iPhone sẽ gửi ghi âm, ảnh, dữ liệu vị trí địa lư và các thông tin nhạy cảm khác đến máy chủ do hacker kiểm soát.
Ṿng lặp tấn công và tái lây nhiễm cho iPhone của nạn nhân. Ảnh: ArsTechnica.
Khởi động lại iPhone có thể loại bỏ phần mềm độc hại. Tuy nhiên, các hacker sẽ tiếp tục quá tŕnh lây nhiễm bằng cách gửi cho các thiết bị một văn bản iMessage độc hại mới ngay sau khi người dùng khởi động lại máy.
Nguy hiểm hơn nữa, quá tŕnh lây nhiễm có tên "Triangulation" này chứa tới 4 lỗ hổng chưa từng được công bố trước đây (zero-day), đồng nghĩa với việc nhóm hacker này đă biết về chúng trước cả Apple.
Hiện Apple đă vá thành công các lỗ hổng này với kư hiệu là CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 và CVE-2023-41990.