Các nhà nghiên cứu tại Citizen Lab cho biết: “Nhóm tin tặc đã nhắm mục tiêu vào ông Ahmed Eltantawy ngay khi ông này công khai kế hoạch tranh cử Tổng thống trong cuộc bầu cử tại Ai Cập năm 2024”, đồng thời quy kết cuộc tấn công này được Chính phủ Ai Cập hậu thuẫn vì đây là khách hàng lớn của các phần mềm gián điệp thương mại.
Theo một cuộc điều tra chung được thực hiện bởi phòng thí nghiệm liên ngành của Canada và nhóm phân tích mối đe dọa của Google (TAG), phần mềm gián điệp được phân phối qua các liên kết gửi trên SMS và WhatsApp.
Các nhà nghiên cứu của Citizen Lab cho biết: “Vào tháng 8 và tháng 9/2023, kết nối di động của Eltantawy liên tục được chọn để nhắm mục tiêu thực hiện tấn công chèn mạng, đây là một hình thức tấn công mà tin tặc cố gắng phá vỡ hoặc chặn các gói từ các kết nối mạng đã được thiết lập và đưa các gói tin của chúng vào luồng dữ liệu, các gói tin bị tin tặc chèn vào sẽ xuất hiện dưới dạng gói tin bình thường. Khi Eltantawy truy cập một số trang web mà không sử dụng HTTPS, một thiết bị được cài đặt ở biên mạng của Vodafone Ai Cập đã tự động chuyển hướng đến một trang web độc hại để lây nhiễm phần mềm gián điệp Predator của Cytrox vào điện thoại của ông ta”.
Chuỗi tấn công khai thác đã lợi dụng các lỗ hổng CVE-2023-41991, CVE-2023-41992 và CVE-2023-41993 có thể cho phép tác nhân độc hại bỏ qua xác thực chứng thư số, nâng cao đặc quyền và thực thi mã từ xa các thiết bị được nhắm mục tiêu khi xử lý nội dung web được tạo đặc biệt.
Phần mềm gián điệp Predator do công ty Cytrox sản xuất, tương tự như Pegasus của tập đoàn NSO, cho phép khách hàng giám sát các mục tiêu quan tâm và thu thập dữ liệu nhạy cảm từ các thiết bị bị xâm nhập.
Lỗ hổng được lưu trữ trên miền có tên “sec-flare[.]com”, được cho là đã được phát tán sau khi Eltantawy được chuyển hướng đến một trang web có tên “c.betly[.]me” bằng một cuộc tấn công chèn mạng tinh vi sử dụng hộp trung gian PacketLogic của Sandvine trên kênh truyền liên kết giữa Telecom Ai cập và Vodafone Ai cập.
“Nội dung của trang web đích bao gồm hai iframe, ID “if1” chứa nội dung mồi nhử (trong trường hợp này là liên kết đến tệp APK không chứa phần mềm gián điệp) và ID “if2” là iframe vô hình chứa liên kết lây nhiễm Predator được lưu trữ trên sec-flare[.]com”, Citizen Lab cho biết.
Nhà nghiên cứu Maddie Stone của Google TAG đã mô tả đây là trường hợp của một cuộc tấn công trung gian (AitM) lợi dụng việc truy cập vào một trang web sử dụng HTTP để chặn và buộc nạn nhân truy cập một trang web khác được điều hành bởi tin tặc.
Eltantawy đã nhận được ba tin nhắn SMS vào tháng 9/2021, tháng 5/2023 và tháng 9/2023 giả dạng cảnh báo bảo mật từ WhatsApp thúc giục ông nhấp vào liên kết để chấm dứt phiên đăng nhập đáng ngờ bắt nguồn từ một thiết bị Windows có mục đích. Sau đó, phần mềm gián điệp đã được cài trên thiết bị của Eltantawy trong khoảng 2 phút 30 giây sau khi ông ta đọc tin nhắn được gửi vào tháng 9/2021.
Ba tin nhắn SMS giả mạo Whatsapp mà Eltantawy nhận được
Citizen Lab cho biết: “Mặc dù đã có những bước tiến lớn trong việc mã hóa web trong những năm gần đây, nhưng người dùng vẫn thỉnh thoảng truy cập các trang web không có HTTPS và một lần truy cập trang web không phải HTTPS có thể dẫn đến nhiễm phần mềm gián điệp”.
Lê Thị Bích Hằng
(Học viện Kỹ thuật mật mã)
10:00 | 12/09/2023
13:00 | 29/06/2023
10:00 | 10/07/2023
13:00 | 15/04/2024
Hội thảo quốc tế IEEE lần thứ nhất về mật mã và an toàn thông tin (VCRIS 2024) dự kiến sẽ được tổ chức trong 02 ngày 03-04/12/2024 tại Học viện Kỹ thuật mật mã, Ban Cơ yếu Chính phủ. Hội thảo nhằm mục đích tạo lập và phát triển môi trường trao đổi học thuật, thúc đẩy các hoạt động nghiên cứu khoa học cơ bản, khoa học ứng dụng về mật mã và an toàn thông tin tại Việt Nam và thế giới.
15:00 | 04/04/2024
Chính quyền Đức đã tuyên bố đánh sập một thị trường ngầm bất hợp pháp có tên Nemesis Market chuyên buôn bán các mặt hàng như ma túy, dữ liệu bị đánh cắp và các dịch vụ tội phạm mạng khác.
14:00 | 01/03/2024
Trong thời đại kỹ thuật số, dữ liệu cá nhân và bí mật công ty luôn là mục tiêu tấn công của tội phạm mạng. Tuy nhiên, khi hệ thống phòng thủ ngày càng tinh vi thì chiến thuật của tin tặc cũng vậy. Năm 2023 cho thấy sự giằng co không ngừng nghỉ, ghi nhận một số vụ xâm phạm dữ liệu gây hậu quả nặng nề. Dưới đây là 10 vụ xâm phạm dữ liệu hàng đầu trong năm 2023 ảnh hưởng đến hơn 100 triệu cá nhân theo ghi nhận của tổ chức phi lợi nhuận Trung tâm Tài nguyên trộm cắp danh tính Mỹ (ITRC).
16:00 | 25/01/2024
Quần đảo Trường Sa là vùng lãnh thổ thiêng liêng không thể tách rời của Tổ quốc Việt Nam; trạm gác tiền tiêu, pháo đài canh gác, lá chắn vững chắc từ hướng biển, phên dậu sườn Đông của Tổ quốc; không gian chiến lược đặc biệt quan trọng đối với quốc phòng, an ninh và kinh tế của đất nước. Vì vậy, mỗi chuyến công tác tới Trường Sa đều đem lại rất nhiều cảm xúc và ý nghĩa. Đặc biệt là chuyến thăm, tặng quà Tết hàng năm.
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Ngày 16/4, nhà sản xuất linh kiện bán dẫn tích hợp đa quốc gia AMD đã giới thiệu chip mới mới dành cho máy tính xách tay và máy tính để bàn hỗ trợ trí tuệ nhân tạo (AI), khi các nhà thiết kế chip này tìm cách mở rộng thị phần của mình trên thị trường máy tính sử dụng AI (PC AI).
09:00 | 03/05/2024