Các nhà nghiên cứu tại Kaspersky phát hiện chiến dịch APT (Advanced Persistent Threat) trên nền tảng di động đang nhắm mục tiêu các thiết bị iOS bằng phần mềm độc hại chưa từng được phát hiện.
Với tên gọi “Operation Triangulation”, chiến dịch này phát tán các khai thác không cần nhấp (zero-click) qua iMessage để chạy phần mềm độc hại giành quyền kiểm soát với thiết bị và dữ liệu người dùng, với mục tiêu bí mật theo dõi người dùng.
Các chuyên gia bảo mật phát hiện chiến dịch APT này khi theo dõi lưu lượng mạng của Wi-Fi công ty bằng nền tảng phân tích và giám sát hợp nhất của Kaspersky (Kaspersky Unified Monitoring and Analysis Platform - KUMA). Sau khi phân tích sâu hơn, các nhà nghiên cứu phát hiện tác nhân đe dọa nhắm mục tiêu vào thiết bị iOS của hàng chục nhân viên công ty.
Chiến dịch phát tán các khai thác không cần nhấp (zero-click) qua iMessage để chạy phần mềm độc hại
Việc điều tra kỹ thuật tấn công vẫn đang tiếp tục, các chuyên gia có thể xác định trình tự lây nhiễm chung. Nạn nhân nhận được một tin nhắn qua iMessage với tệp đính kèm chứa khai thác zero-click. Không cần sự tương tác từ nạn nhân, tin nhắn kích hoạt một lỗ hổng dẫn đến việc thực thi mã để “leo thang” đặc quyền và cung cấp toàn quyền kiểm soát thiết bị bị lây nhiễm.
Sau khi kẻ tấn công thiết lập thành công sự hiện diện của chúng trên thiết bị, tin nhắn sẽ tự động bị xóa.
Không dừng lại, phần mềm gián điệp âm thầm truyền thông tin cá nhân đến các máy chủ từ xa, bao gồm bản ghi âm, ảnh từ ứng dụng nhắn tin nhanh, định vị địa lý và dữ liệu về một số hoạt động khác của chủ sở hữu thiết bị bị nhiễm.
Igor Kuznetsov, Trưởng đơn vị EEMEA tại Nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky (GReAT) nhận xét: “Khi nói đến an ninh mạng, ngay cả những hệ điều hành an toàn nhất cũng có thể bị xâm phạm. Vì những kẻ tấn công APT không ngừng phát triển các chiến thuật của chúng và tìm kiếm những điểm yếu mới để khai thác, các doanh nghiệp phải ưu tiên bảo mật hệ thống.
Điều này liên quan đến việc ưu tiên giáo dục và nâng cao nhận thức cho nhân viên, đồng thời cung cấp cho họ thông tin thám báo về mối đe dọa và các công cụ mới nhất để nhận biết và bảo vệ trước các mối đe dọa tiềm ẩn”.
Các chuyên gia Kaspersky đưa ra khuyến nghị nhằm giúp người dùng tránh trở thành nạn nhân của tấn công có chủ đích. Đầu tiên, nên sử dụng giải pháp bảo mật đáng tin cậy dành cho doanh nghiệp để bảo vệ, điều tra và phản hồi kịp thời. Tiếp theo, cần cập nhật hệ điều hành Microsoft Windows và phần mềm của bên thứ ba theo tiêu chí sớm và thường xuyên. Người dùng cũng nên cung cấp quyền truy cập vào Thám báo mối đe dọa (Threat Intelligence - TI) mới nhất cho đội ngũ SOC (chăm sóc khách hàng).
Với doanh nghiệp, cần cung cấp khóa đào tạo về nhận thức bảo mật và hướng dẫn các kỹ năng cần thiết cho nhân viên công ty, trang bị kỹ năng cho nhóm an ninh mạng để giải quyết những mối đe dọa có chủ đích.
