-
09/04/2020
-
85
-
553 bài viết
Cẩn trọng: Chiến thuật tấn công zero-click mới nhắm vào iOS
Theo báo cáo của Citizen Lab, NSO Group đã phát triển ít nhất 3 chiến thuật tấn công mới nhắm vào các thiết bị iPhone sử dụng iOS 15 và iOS 16. Được đặt tên là PwnYourHome, FindMyPwn và LatentImage, các chiến dịch này lợi dụng phần mềm gián điệp Pegasus để xâm nhập các tính năng Find My, HomeKit và iMessage mà không cần tương tác người dùng.
Phần mềm gián điệp Pegasus của NSO Group thường tìm cách xâm nhập điện thoại iPhone mục tiêu bằng cách tấn công zero-click hoặc khai thác lỗ hổng zero-day. Mặc dù Apple đã có những giải pháp an ninh để ngăn chặn các cuộc tấn công nhắm vào khách hàng của mình, NSO vẫn luôn không ngừng tìm cách vượt qua.
Một trong những hình thức khai thác zero-click mới là PwnYourHome. Quá trình tấn công sẽ gồm hai bước, trong đó kẻ tấn công nhắm mục tiêu vào các tính năng HomeKit và iMessage trên các thiết bị iOS 15 và 16. Chiến dịch được thực hiện từ tháng 10 năm 2022.
Chiến thuật khai thác thứ hai là FindMyPwn, nhắm vào tiến trình fmfd trong chức năng “Find My” trên các thiết bị iOS 15.5 và iOS 15.6. Việc khai thác cho phép ghi và xóa các mục bên trong thư mục cache.
Cuối cùng là LatentImage, xuất hiện vào tháng 1 năm 2022, ảnh hưởng đến các thiết bị iOS 15. Bằng chứng cho thấy việc khai thác cũng sử dụng chức năng “Find My”, nhưng điểm truy cập ban đầu của nó chưa được xác nhận.
Ngoài ra FindMyPwn và PwnYourHome bị khai thác dưới dạng lỗ hổng zero-day.
Apple đã được thông báo về những phát hiện trên vào tháng 10 năm 2022 và tháng 1 năm 2023.
Tháng 2 năm 2023, Apple cũng đã xử lý một lỗ hổng zero-day khác trong WebKit là CVE-2023-23529. Lỗ hổng có thể bị kẻ tấn công khai thác để kích hoạt lỗi crash trong hệ điều hành và thực thi mã trên các thiết bị iPhone, iPad và Mac tồn tại lỗ hổng.
Chỉ tính trong năm 2022, Apple đã phải vá khoảng chục lỗi zero-day trên iOS, đồng thời gửi thông báo cho người dùng bị nhắm mục tiêu vào tháng 11 - 12 năm 2022 và tháng 3 năm 2023.
Kể từ đó, NSO Group có thể đã nâng cấp các gói khai thác, tuy nhiên Citizen Lab chưa phát hiện gói khai thác PwnYourHome có khả năng hoạt động trên các thiết bị đã bật tính năng Chế độ khóa của Apple (Lockdown Mode).
Mới đây, Citizen Lab và Microsoft cũng đã công bố chi tiết về phần mềm độc hại trên iOS được phát triển bởi QuaDream, một nhà cung cấp phần mềm gián điệp ở Israel sắp đóng cửa hoạt động, từng được coi là đối thủ cạnh tranh của NSO.
Chuyên gia WhiteHat khuyến cáo người dùng nên thường xuyên cập nhật phiên bản iOS mới nhất, hiện tại là 16.4.1 để tránh những rủi ro về an ninh mạng.
Phần mềm gián điệp Pegasus của NSO Group thường tìm cách xâm nhập điện thoại iPhone mục tiêu bằng cách tấn công zero-click hoặc khai thác lỗ hổng zero-day. Mặc dù Apple đã có những giải pháp an ninh để ngăn chặn các cuộc tấn công nhắm vào khách hàng của mình, NSO vẫn luôn không ngừng tìm cách vượt qua.
Một trong những hình thức khai thác zero-click mới là PwnYourHome. Quá trình tấn công sẽ gồm hai bước, trong đó kẻ tấn công nhắm mục tiêu vào các tính năng HomeKit và iMessage trên các thiết bị iOS 15 và 16. Chiến dịch được thực hiện từ tháng 10 năm 2022.
Chiến thuật khai thác thứ hai là FindMyPwn, nhắm vào tiến trình fmfd trong chức năng “Find My” trên các thiết bị iOS 15.5 và iOS 15.6. Việc khai thác cho phép ghi và xóa các mục bên trong thư mục cache.
Cuối cùng là LatentImage, xuất hiện vào tháng 1 năm 2022, ảnh hưởng đến các thiết bị iOS 15. Bằng chứng cho thấy việc khai thác cũng sử dụng chức năng “Find My”, nhưng điểm truy cập ban đầu của nó chưa được xác nhận.
Ngoài ra FindMyPwn và PwnYourHome bị khai thác dưới dạng lỗ hổng zero-day.
Apple đã được thông báo về những phát hiện trên vào tháng 10 năm 2022 và tháng 1 năm 2023.
Tháng 2 năm 2023, Apple cũng đã xử lý một lỗ hổng zero-day khác trong WebKit là CVE-2023-23529. Lỗ hổng có thể bị kẻ tấn công khai thác để kích hoạt lỗi crash trong hệ điều hành và thực thi mã trên các thiết bị iPhone, iPad và Mac tồn tại lỗ hổng.
Chỉ tính trong năm 2022, Apple đã phải vá khoảng chục lỗi zero-day trên iOS, đồng thời gửi thông báo cho người dùng bị nhắm mục tiêu vào tháng 11 - 12 năm 2022 và tháng 3 năm 2023.
Kể từ đó, NSO Group có thể đã nâng cấp các gói khai thác, tuy nhiên Citizen Lab chưa phát hiện gói khai thác PwnYourHome có khả năng hoạt động trên các thiết bị đã bật tính năng Chế độ khóa của Apple (Lockdown Mode).
Mới đây, Citizen Lab và Microsoft cũng đã công bố chi tiết về phần mềm độc hại trên iOS được phát triển bởi QuaDream, một nhà cung cấp phần mềm gián điệp ở Israel sắp đóng cửa hoạt động, từng được coi là đối thủ cạnh tranh của NSO.
Chuyên gia WhiteHat khuyến cáo người dùng nên thường xuyên cập nhật phiên bản iOS mới nhất, hiện tại là 16.4.1 để tránh những rủi ro về an ninh mạng.
Theo Securityweek, SCmagazine
Chỉnh sửa lần cuối: