Mới đây, Nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky (GReAT) đã tiết lộ quá trình điều tra về chiến dịch Operation Triangulation tại Hội nghị thượng đỉnh phân tích bảo mật (SAS). Các chuyên gia đã nói về các phát hiện mới xung quanh các lỗ hổng và cách khai thác làm cơ sở điều tra cuộc tấn công này, đồng thời cung cấp phân tích về chiến dịch nhắm mục tiêu vào cả công chúng và nhân viên của Kaspersky.
Trước đó, vào tháng 6 năm nay, Kaspersky đã phát hiện một cuộc tấn công APT nhắm vào các thiết bị iOS. Được gọi là "Chiến dịch Triangulation", cuộc tấn công này sử dụng một phương pháp phức tạp để tiến hành các hoạt động khai thác zero-click thông qua ứng dụng iMessage, để chạy một loại phần mềm độc hại và chiếm quyền kiểm soát hoàn toàn thiết bị và dữ liệu của người dùng.
Theo nhóm GReAT, mục tiêu chính của những kẻ tấn công có thể liên quan đến việc lén lút theo dõi người dùng và có thể ảnh hưởng đến nhân viên của Kaspersky. Do sự phức tạp của cuộc tấn công và tính kín đáo của hệ thống iOS, một đội ngũ đặc nhiệm đã dành nhiều thời gian và nguồn lực đáng kể để tiến hành phân tích kỹ thuật chi tiết.
Tại SAS, các chuyên gia Kaspersky đã công khai những chi tiết chưa được tiết lộ trước đây về chuỗi tấn công lợi dụng 5 lỗ hổng với 4 trong số đó là các lỗ hổng zero-day chưa được biết đến trước đây và đã được vá sau khi các nhà nghiên cứu Kaspersky gửi chúng .
Đặc biệt, các chuyên gia đã xác định điểm xâm nhập ban đầu thông qua sự lỗ hổng trong thư viện xử lý phông chữ. Một lỗ hổng thứ hai mạnh mẽ và dễ bị khai thác đã được tìm thấy trong mã vùng nhớ ánh xạ trên không gian bộ nhớ, cho phép tấn công tiếp cận bộ nhớ vật lý của thiết bị. Ngoài ra, các kẻ tấn công còn khai thác hai lỗ hổng khác để vượt qua tính năng bảo mật phần cứng của vi xử lý mới nhất của Apple.
Các nhà nghiên cứu cũng đã phát hiện ra rằng, bên cạnh khả năng lây nhiễm từ xa trên các thiết bị Apple thông qua iMessage mà không cần sự tương tác của người dùng, các kẻ tấn công còn có một nền tảng khác để thực hiện các cuộc tấn công thông qua trình duyệt web Safari. Điều này đã thúc đẩy quá trình phát hiện và vá lỗ hổng thứ năm.
Các lỗ hổng này đã gây ảnh hưởng đến nhiều sản phẩm trong hệ sinh thái của Apple, bao gồm iPhone, iPod, iPad, thiết bị macOS, Apple TV và Apple Watch. Sau khi nhận được thông tin này, nhóm Apple đã chính thức phát hành các bản cập nhật bảo mật để khắc phục bốn lỗ hổng zero-day mà các nhà nghiên cứu của Kaspersky đã phát hiện ra (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606, CVE-2023-41990).
Ông Boris Larin - Trưởng nhóm các nhà nghiên cứu bảo mật tại GReAT của Kaspersky chia sẻ rằng các tính năng bảo mật sử dụng phần cứng trong các thiết bị chạy chip Apple mới có thể tăng cường khả năng khôi phục sau các cuộc tấn công mạng đáng kể. Tuy nhiên, điều này không có nghĩa là chúng không thể bị tấn công. Operation Triangulation nhấn mạnh rằng người dùng cần hết sức cẩn trọng khi xử lý các tệp đính kèm iMessage từ các nguồn không quen thuộc.
Dù phần lớn nạn nhân của Kaspersky đều là các quản lý cấp cao và trung cấp của công ty cũng như các nghiên cứu viên tại Nga, châu Âu và Meta, nhưng những công ty này không đơn thuần chỉ là mục tiêu duy nhất của cuộc tấn công.
Ông Igor Kuznetsov, Giám đốc Nhóm Nghiên cứu & Phân tích Toàn cầu (GReAT) tại Kaspersky, đã đề cập: "Bảo vệ hệ thống khỏi các cuộc tấn công mạng tinh vi không phải là một nhiệm vụ đơn giản và ngay cả đối với các hệ thống khép kín như iOS còn phức tạp hơn. Đó chính là lý do tại sao việc áp dụng các biện pháp bảo mật nhiều lớp để phát hiện và ngăn chặn các cuộc tấn công đó là điều vô cùng quan trọng."
Phòng ngừa mối nguy hiểm trở thành mục tiêu của hành vi tấn công mạng có thể được thực hiện theo năm cách sau:
Để luôn đảm bảo an toàn và tránh các nguy cơ bảo mật, ta nên thường xuyên cập nhật hệ điều hành, ứng dụng và phần mềm chống vi-rút để khắc phục các lỗ hổng tiềm ẩn.
Cần phải tỏ ra cẩn thận đối với các email, tin nhắn hoặc cuộc gọi yêu cầu cung cấp thông tin nhạy cảm. Trước khi chia sẻ dữ liệu cá nhân hoặc nhấp vào các liên kết đáng ngờ, hãy xác minh danh tính của người yêu cầu thông tin.
Việc cấp quyền truy cập vào thông tin tình báo về các mối đe dọa mới nhất cho Trung tâm điều hành an ninh (SOC) là một điểm truy cập duy nhất mà Kaspersky cung cấp. Thông tin này bao gồm dữ liệu về tấn công mạng và hiểu biết sâu sắc mà đội ngũ chúng tôi đã thu thập trong hơn 20 năm.
Việc cải thiện chất lượng đội ngũ an ninh mạng là để khắc phục các mối đe dọa mới nhất, đồng thời được thực hiện bởi các chuyên gia từ tổ chức GReAT.
Để phát hiện, điều tra và giải quyết sự cố kịp thời tại điểm cuối, chúng ta có thể sử dụng các giải pháp EDR.
