Các nhà nghiên cứu đã rất bất ngờ khi phát hiện hàng nghìn chiếc iPhone của công ty bảo mật Kaspersky tại Moscow đã bị tấn công bởi mã độc gián điệp suốt 4 năm liên tiếp.
Hàng nghìn iPhone đã bị tấn công bằng mã độc suốt 4 năm với độ tinh vi rất cao. Ảnh: IDG.
Tờ ArsTechnica mới đây đã công bố nghiên cứu bất ngờ về một cuộc tấn công bằng mã độc gián điệp đã kéo dài hơn 4 năm qua. Nạn nhân bao gồm nhân viên của công ty bảo mật Kaspersky tại Moscow, các đại sứ quán và phái đoàn ngoại giao ở Nga.
Theo các nhà nghiên cứu, những hacker này có thể đã chiếm quyền truy cập ở mức chưa từng có bằng cách khai thác lỗ hổng trong một tính năng phần cứng ẩn mà rất ít ai ngoài Apple và các nhà cung cấp chip như ARM Holdings biết đến.
“Mức độ tinh vi của việc khai thác những tính năng ẩn cho thấy kẻ tấn công có trình độ kỹ thuật rất cao. Phân tích của chúng tôi chưa biết làm thế nào mà kẻ tấn công lại biết đến những tính năng này. Chúng tôi đang đặt ra mọi khả năng có thể, bao gồm cả việc nhà phát hành vô tình để lộ trong các bản cập nhật firmware hoặc mã nguồn trước đây", nhà nghiên cứu Boris Larin của Kaspersky cho biết.
Phía Kaspersky cho biết, trong khoảng thời gian ít nhất 4 năm, quá trình lây nhiễm mã độc đã được phát tán trong các tin nhắn iMessage cài đặt phần mềm độc hại, thông qua chuỗi khai thác phức tạp mà không yêu cầu người nhận thực hiện bất kỳ hành động nào.
Sau khi bị nhiễm, iPhone sẽ gửi ghi âm, ảnh, dữ liệu vị trí địa lý và các thông tin nhạy cảm khác đến máy chủ do hacker kiểm soát.
Vòng lặp tấn công và tái lây nhiễm cho iPhone của nạn nhân. Ảnh: ArsTechnica.
Khởi động lại iPhone có thể loại bỏ phần mềm độc hại. Tuy nhiên, các hacker sẽ tiếp tục quá trình lây nhiễm bằng cách gửi cho các thiết bị một văn bản iMessage độc hại mới ngay sau khi người dùng khởi động lại máy.
Nguy hiểm hơn nữa, quá trình lây nhiễm có tên "Triangulation" này chứa tới 4 lỗ hổng chưa từng được công bố trước đây (zero-day), đồng nghĩa với việc nhóm hacker này đã biết về chúng trước cả Apple.
Hiện Apple đã vá thành công các lỗ hổng này với ký hiệu là CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 và CVE-2023-41990.