Phát tán mã độc trên iMessage với Zero-Click
Trước đó vào ngày 1/6/2023, các nhà nghiên cứu của Kaspersky đã phát hiện cuộc tấn công “Operation Triangulation” trên nền tảng di động, nhắm mục tiêu vào các thiết bị iOS bằng phần mềm độc hại chưa từng được biết đến trước đây.
Điểm đặc biệt của cuộc tấn công này là việc phát tán mã độc thông qua các tin nhắn iMessage với tệp đính kèm chứa khai thác Zero-Click. Không cần sự tương tác từ nạn nhân, tin nhắn được gửi sẽ tự động kích hoạt một lỗ hổng zero-day không xác định trên iMessage, dẫn đến thực thi mã để leo thang đặc quyền, điều này cho phép mã độc có thể tải thêm các payload độc hại để từ đó giành quyền kiểm soát hoàn toàn đối với thiết bị và dữ liệu người dùng. Sau khi kích hoạt mã thành công, tin nhắn sẽ tự động bị xóa.
Phần mềm độc hại này sẽ bí mật truyền thông tin cá nhân của nạn nhân đến các máy chủ từ xa do tin tặc kiểm soát, bao gồm bản ghi âm, ảnh từ ứng dụng nhắn tin, định vị vị trí địa lý và dữ liệu về một số hoạt động khác của nạn nhân trên thiết bị.
Kaspersky cho biết các cuộc tấn công này vẫn đang diễn ra và phiên bản iOS mới nhất được xác nhận mục tiêu là iOS 15.7, phát hành vào tháng 9/2022.
Nga quy trách nhiệm tấn công mạng cho tình báo Mỹ
Tiết lộ của Kaspersky được đưa ra cùng ngày khi Cơ quan An ninh Liên bang Nga (FSB) đưa ra các cáo buộc liên quan đến tình báo Mỹ đứng sau các chiến dịch gián điệp tấn công mạng đang diễn ra nhắm vào hàng nghìn thiết bị iOS của các thuê bao trong nước và các cơ quan ngoại giao nước ngoài.
FSB cho biết các thiết bị IPhone của các nhà ngoại giao, nhân viên đại sứ quán của các nước như Trung Quốc, Israel, Syria và Tổ chức Hiệp ước Bắc Đại Tây Dương (NATO) đã bị nhiễm mã độc như một phần hoạt động do thám của các cơ quan tình báo Mỹ. Hiện tại, nguồn gốc chính xác của phần mềm độc hại và người điều phối chiến dịch Operation Triangulation vẫn chưa được biết, do đó phạm vi nhắm mục tiêu và số lượng các nạn nhân cụ thể đến nay vẫn chưa được xác định.
Công cụ rà quét bảo mật mới
Trong báo cáo phân tích ban đầu, Kaspersky đã cung cấp khá nhiều chi tiết về cách kiểm tra thủ công các bản sao lưu thiết bị iOS để tìm các dấu hiệu có thể bị xâm phạm bằng cách sử dụng Bộ công cụ xác minh di động (MVT). Quá trình này mất nhiều thời gian và yêu cầu tìm kiếm thủ công một số loại chỉ báo. Để tự động hóa quy trình này, các nhà nghiên cứu của Kaspersky đã phát triển một công cụ bảo mật chuyên dụng “Triangle_check” để rà quét các bản sao lưu và chạy tất cả các bước kiểm tra, nhằm phát hiện Triangulation tự động.
Vì iOS chỉ có thể được phân tích dưới dạng bản sao lưu và các cơ chế bảo mật khác nhau của Apple (sandbox, code signing, mã hóa dữ liệu) ngăn chặn quá trình phân tích hệ thống trực tiếp. Do đó, trước tiên người dùng cần sao lưu thiết bị iOS theo các bước sau tùy thuộc vào hệ điều hành của họ.
Cách sao lưu thiết bị
Hệ điều hành Windows
Với Windows, cách đơn giản nhẩt để thực hiện sao lưu là thông qua iTunes, người dùng thực hiện như sau:
Bước 1: Kết nối thiết bị của người dùng với máy tính đã cài đặt iTunes. Mở khóa thiết bị và nếu cần, hãy xác nhận tin cậy máy tính của mình.
Cửa sổ yêu cầu tin cậy máy tính
Bước 2: Thiết bị bây giờ sẽ được hiển thị trong iTunes. Nhấp chuột phải vào nó và chọn Backup. Bản sao lưu đã tạo sẽ được lưu vào thư mục “%appdata%\Apple Computer\MobileSync\Backup”.
Tạo bản sao lưu iOS thông qua iTunes
Hệ điều hành Mac
Nếu phiên bản macOS thấp hơn Catalina (10.15), người dùng có thể tạo bản sao lưu bằng iTunes, với cách sử dụng hướng dẫn dành cho Windows. Bắt đầu từ Catalina, các bản sao lưu có thể được tạo thông qua Finder.
Bước 1: Kết nối thiết bị với máy tính.
Bước 2: Thiết bị của người dùng sẽ được hiển thị trong Finder. Chọn nó và sau đó nhấp vào Create a backup.
Bước 3: Bản sao lưu đã tạo sẽ được lưu vào thư mục “~/Library/Application Support/MobileSync/Backup/”.
Hệ điều hành Linux
Bước 1: Cài đặt thư viện “libimobiledevice” tại địa chỉ github: https://github.com/libimobiledevice/libimobiledevice.
Bước 2: Kết nối thiết bị với máy tính và có thể tạo bản sao lưu bằng cách sử dụng lệnh: idevicebackup2 backup --full.
Bước 3: Trong quá trình sao lưu, hãy nhập mật khẩu thiết bị của người dùng theo yêu cầu.
Cách sử dụng công cụ quét bảo mật Triangle_check
Bước tiếp theo là sử dụng công cụ rà quét bảo mật Triangle_check của Kaspersky để phân tích các bản sao lưu iOS. Đối với Windows và Linux, công cụ này có thể được tải xuống dưới dạng bản dựng binary build trên Github; đối với MacOS, công cụ này có thể được cài đặt đơn giản dưới dạng gói package Python.
Gói Python
Người dùng có thể sử dụng câu lệnh sau để tải xuống gói packege Triangle_check: python -m pip install Triangle_check.
Ngoài ra, công cụ này có thể được xây dựng từ GitHub bằng cách thực hiện các câu lệnh sau:
Bước 1: git clone https://github.com/KasperskyLab/triangle_check.git.
Bước 2: cd triangle_check.
Bước 3: python -m build.
Bước 4: python -m pip install dist/triangle_check-1.0-py3-none-any.whl.
Bước 5: python -m Triangle_check path (đường dẫn đến bản sao lưu đã tạo).
Windows Binary
Bước 1: Tải xuống tệp lưu trữ Triangle_check_win.zip từ trang phát hành GitHub tại địa chỉ: https://github.com/KasperskyLab/triangle_check/releases và giải nén nó.
Bước 2: Khởi chạy CMD hoặc PowerShell.
Bước 3: Di chuyển vào thư mục chứa kho lưu trữ đã giải nén, ví dụ: cd %userprofile%\Downloads\triangle_check_win.
Bước 4: Khởi chạy Triangle_check.exe, chỉ định đường dẫn đến bản sao lưu làm đối số, ví dụ: triangle_check.exe "%appdata%\Apple Computer\MobileSync\Backup\00008101-000824411441001E-20230530-143718".
Linux Binary
Bước 1: Khởi chạy terminal, sử dụng câu lệnh sau để tải xuống Triangle_check từ GitHub: wget https://github.com/KasperskyLab/triangle_check/releases/download/v0.0.1/triangle_check_linux.zip.
Bước 2: Giải nén tệp với câu lệnh: unzip triangle_check_linux.zip.
Bước 3: Di chuyển vào thư mục chứa kho lưu trữ đã giải nén, ví dụ: cd ~ /triangle_check_linux.
Bước 4: Cho phép công cụ được thực thi bằng lệnh: chmod +x triangle_check.
Bước 5: Khởi chạy công cụ và chỉ định đường dẫn đến bản sao lưu làm đối số, ví dụ: ./triangle_check ~/Desktop/my_backup/00008101-000824411441001E-20230530-143718.
Khi được khởi chạy và trỏ đến đường dẫn sao lưu iOS, công cụ Triangle_check sẽ hiển thị một trong các kết quả rà quét sau:
Hồng Đạt
09:00 | 06/06/2023
10:00 | 12/09/2023
09:00 | 12/05/2023
14:00 | 01/11/2023
09:00 | 04/05/2023
13:00 | 26/02/2024
13:00 | 13/11/2023
10:00 | 25/11/2024
Tấn công chuỗi cung ứng phần mềm là hình thức tấn công mạng nhằm vào việc phân phối phần mềm hoặc nhà cung cấp dịch vụ trong chuỗi cung ứng kỹ thuật số của doanh nghiệp, gây tác động trên diện rộng và tổn hại lớn đến danh tiếng của doanh nghiệp. Để bảo vệ chuỗi cung ứng trong thời đại số, bài viết này sẽ cung cấp 6 biện pháp giúp doanh nghiệp giảm thiểu các rủi ro và củng cố chuỗi cung ứng trước hình thức tấn công này.
09:00 | 29/10/2024
Trong cuộc đua 5G tại Việt Nam, Viettel đã vươn lên dẫn đầu khi trở thành nhà mạng đầu tiên chính thức tuyên bố khai trương mạng 5G. Trong khi đó, các nhà mạng khác cũng đang ráo riết chuẩn bị cho việc triển khai dịch vụ 5G, hứa hẹn một thị trường viễn thông sôi động và cạnh tranh trong thời gian tới.
10:00 | 10/04/2024
Hiện nay, số lượng các cuộc tấn công mạng nhắm đến hệ điều hành Linux đang ngày càng gia tăng cả về số lượng lẫn mức độ tinh vi, đặc biệt là các sự cố liên quan đến việc lộ lọt mật khẩu. Thông thường, khi tạo tài khoản mới trên Linux, người dùng có thể sử dụng những mật khẩu tùy ý, kể cả những mật khẩu yếu, điều này có thể gây ra nhiều rủi ro bảo mật tiềm ẩn trong hệ thống mạng, các tác nhân đe dọa sẽ dễ dàng tấn công và xâm phạm tài khoản hơn. Do đó, cần phải thực thi các chính sách sử dụng mật khẩu đủ mạnh để bảo vệ tài khoản người dùng tránh bị tấn công. Trong bài viết này sẽ gửi đến độc giả hướng dẫn thiết lập cấu hình mật khẩu an toàn trên Linux với nền tảng Centos 7.
14:00 | 01/03/2024
Giấu tin (steganography) là một kỹ thuật nhúng thông tin vào một nguồn đa phương tiện nào đó, ví dụ như tệp âm thanh, tệp hình ảnh,... Việc này giúp thông tin được giấu trở nên khó phát hiện và gây ra nhiều thách thức trong lĩnh vực bảo mật và an toàn thông tin, đặc biệt là quá trình điều tra số. Thời gian gần đây, số lượng các cuộc tấn công mạng có sử dụng kỹ thuật giấu tin đang tăng lên, tin tặc lợi dụng việc giấu các câu lệnh vào trong bức ảnh và khi xâm nhập được vào máy tính nạn nhân, các câu lệnh chứa mã độc sẽ được trích xuất từ ảnh và thực thi. Nhằm mục đích cung cấp cái nhìn tổng quan về phương thức ẩn giấu mã độc nguy hiểm, bài báo sẽ giới thiệu về kỹ thuật giấu tin trong ảnh và phân tích một cuộc tấn công cụ thể để làm rõ về kỹ thuật này.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Bài báo “Zero Trust, SASE, VPN là gì?” đã cung cấp cái nhìn tổng quan, giúp người dùng hiểu rõ hơn về cách thức hoạt động và ứng dụng của các giải pháp trong việc bảo vệ hạ tầng công nghệ thông tin của các tổ chức. Phần tiếp theo của bài báo sẽ phân tích sự khác biệt trong từng giải pháp, giúp tổ chức lựa chọn mô hình phù hợp nhất, dựa trên nhu cầu bảo mật và quy mô hệ thống của đơn vị mình.
09:00 | 13/11/2024