Tại Hội nghị thượng đỉnh phân tích bảo mật toàn cầu (SAS), diễn ra tại Thái Lan từ ngày 25 - 28.10, nhóm Nghiên cứu và Phân tích toàn cầu của Kaspersky (GReAT) tiết lộ quá trình điều tra chi tiết về chiến dịch Operation Triangulation.
Các chuyên gia an ninh mạng của Kaspersky phát hiện chiến dịch tấn công APT này vào tháng 6.2023, dù nó bắt đầu diễn ra từ năm 2019. Theo đó, nạn nhân nhận được một tin nhắn qua iMessage với tệp đính kèm chứa khai thác zero-click. Không cần sự tương tác từ nạn nhân, tin nhắn kích hoạt một lỗ hổng dẫn đến việc thực thi mã để leo thang đặc quyền và cung cấp toàn quyền kiểm soát thiết bị bị lây nhiễm. Sau khi kẻ tấn công thiết lập thành công sự hiện diện của chúng trên thiết bị, tin nhắn tự động bị xóa.
Không dừng ở đó, phần mềm gián điệp lặng lẽ truyền thông tin cá nhân đến các máy chủ từ xa, bao gồm bản ghi âm, ảnh từ ứng dụng nhắn tin nhanh, định vị địa lý và dữ liệu về một số hoạt động khác của chủ sở hữu thiết bị bị nhiễm.
Nạn nhân của chiến dịch này bao gồm quản lý cấp cao và cấp trung của công ty cũng như các nhà nghiên cứu có trụ sở tại Nga, Thổ Nhĩ Kỳ, Trung Đông... Ngoài các công ty, tổ chức, rất nhiều cá nhân cũng chịu ảnh hưởng bởi chiến dịch này.
Sau hơn 4 tháng tìm hiểu, các chuyên gia an ninh mạng đã công khai những chi tiết chưa được tiết lộ về chuỗi tấn công lợi dụng 5 lỗ hổng, với 4 trong số đó là các lỗ hổng zero-day chưa được biết đến và đã được vá sau khi các nhà nghiên cứu Kaspersky gửi chúng đến Apple.
Sau đó, Apple chính thức phát hành các bản cập nhật bảo mật, giải quyết bốn lỗ hổng zero-day được các nhà nghiên cứu của Kaspersky phát hiện (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990). Những lỗ hổng này ảnh hưởng đến nhiều sản phẩm thuộc hệ sinh thái của Apple, bao gồm iPhone, iPod, iPad, thiết bị macOS, Apple TV và Apple Watch.
Ông Boris Larin, Trưởng nhóm các Nhà nghiên cứu bảo mật tại GReAT của Kaspersky, chia sẻ: “Các tính năng bảo mật dựa trên phần cứng của các thiết bị sử dụng chip Apple mới có thể tăng cường khả năng phục hồi trước các cuộc tấn công mạng đáng kể. Nhưng điều đó không có nghĩa là chúng bất khả xâm phạm. Operation Triangulation đóng vai trò như lời nhắc nhở rằng, người dùng hãy cẩn thận khi xử lý các tệp đính kèm iMessage từ các nguồn không quen thuộc”.
Để phòng ngừa nguy cơ trở thành nạn nhân của một cuộc tấn công có chủ đích, các chuyên gia an ninh mạng cũng khuyên người dùng thực hiện các biện pháp như: Thường xuyên cập nhật hệ điều hành, ứng dụng và phần mềm chống virus để luôn được bảo vệ khỏi các lỗ hổng tiềm ẩn và rủi ro bảo mật; thận trọng với các email, tin nhắn hoặc cuộc gọi yêu cầu cung cấp thông tin nhạy cảm. Xác minh danh tính người yêu cầu thông tin trước khi chia sẻ dữ liệu cá nhân nào hoặc nhấp vào các liên kết đáng ngờ…
