Bốn lỗ hổng zero-day bị khai thác khi iPhone chứa phần mềm gián điệp

Những chiếc iPhone này thuộc sở hữu của nhân viên công ty bảo mật Kaspersky ở Moscow, Nga. Những kẻ tấn công đã có được mức độ truy cập chưa từng thấy trước đây và tất cả đều được thực hiện bằng cách khai thác lỗ hổng trong một tính năng phần cứng mà không nhiều người ngoài Apple và công ty thiết kế bán dẫn Arm Holdings biết đến.

Hiện vẫn không rõ làm thế nào mà những kẻ tấn công biết được tính năng phần cứng này và ngay cả các nhà nghiên cứu cũng không biết mục đích của chúng là gì. Cũng không rõ liệu phần cứng là bộ phận gốc của iPhone hay được kích hoạt bởi thành phần bên thứ ba như CoreSight của Arm. Ngoài việc lây nhiễm vào các iPhone của nhân viên Kaspersky, phần mềm gián điệp này còn ảnh hưởng đến những chiếc iPhone được hàng nghìn người làm việc tại các đại sứ quán và cơ quan ngoại giao ở Nga sử dụng.

Phần mềm gián điệp được phát tán nhằm vào iPhone như thế nào? Rõ ràng nó đã được gửi qua tin nhắn iMessage nhưng không cần nạn nhân thực hiện bất kỳ thao tác nào. Sau khi bị nhiễm, iPhone sẽ truyền bản ghi micrô, ảnh, dữ liệu định vị địa lý và thông tin nhạy cảm khác đến các máy chủ do kẻ tấn công kiểm soát. Trong khi chỉ cần khởi động lại iPhone sẽ giúp thiết bị thoát khỏi sự lây nhiễm, những kẻ tấn công lại sẽ gửi một văn bản mới chứa phần mềm gián điệp đến cùng một thiết bị và lây nhiễm lại mỗi khi thiết bị được khởi động lại.

Trong một email, nhà nghiên cứu của Kaspersky, Boris Larin đã viết: “Sự tinh vi của việc khai thác và tính ẩn danh của tính năng cho thấy những kẻ tấn công có kỹ năng xâm nhập tiên tiến hơn. Phân tích chưa nêu ra bằng cách nào mà chúng tôi biết đến sự tồn tại của tính năng này, nhưng chúng tôi đang khám phá tất cả các khả năng, bao gồm cả những khả năng vô tình được tiết lộ trong các bản phát hành chương trình cơ sở hoặc mã nguồn trước đây. Họ cũng có thể tình cờ phát hiện ra điều đó thông qua kỹ thuật đảo ngược phần cứng."

Phần mềm độc hại và chiến dịch dẫn đến việc cài đặt nó đều được gọi là "Tam giác" và nó chứa bốn lỗ hổng zero-day, điều đó có nghĩa là những kẻ tấn công đã biết về những lỗ hổng này trước khi Apple phát hiện ra. Kể từ đó, Apple đã vá các lỗ hổng như sau:

CVE-2023-32434

CVE-2023-32435

CVE-2023-38606

CVE-2023-41990

Phần cứng bí mật nói trên là nguyên nhân gốc rễ của vấn đề này và 4 lỗ hổng zero-day không chỉ ảnh hưởng đến các mẫu iPhone mà còn ảnh hưởng đến iPad, iPod, Mac, Apple TV và Apple Watch. Apple đã vá các lỗ hổng trên tất cả các thiết bị nêu trên.

Trong thông cáo báo chí, Larin của Kaspersky cho biết thêm: "Đây không phải là lỗ hổng thông thường. Do tính chất khép kín của hệ sinh thái iOS, quá trình phát hiện vừa khó khăn vừa tốn thời gian, đòi hỏi sự hiểu biết toàn diện về cả kiến trúc phần cứng và phần mềm. Qua đó cho thấy, việc khám phá này dạy chúng ta một lần nữa rằng ngay cả các biện pháp bảo vệ dựa trên phần cứng tiên tiến cũng có thể trở nên vô hiệu khi đối mặt với kẻ tấn công tinh vi, đặc biệt khi có các tính năng phần cứng cho phép vượt qua các biện pháp bảo vệ này."

Về việc ai đứng đằng sau vụ tấn công, một số người đổ lỗi cho Cơ quan An ninh Quốc gia Hoa Kỳ (NSA). Cơ quan An ninh Liên bang Nga cho biết cuộc tấn công xuất phát từ việc NSA hợp tác với Apple, mặc dù Kaspersky nói rằng họ không có bằng chứng nào cho thấy cả hai đều có liên quan.