Chứng minh tận gốc thứ mà ông tin là kiến trúc hack của Triều Tiên, nhà nghiên cứu an ninh mạng người Mỹ Darien Huss đã tìm ra một điểm khác biệt: phần mềm iPhone. Thoạt nhìn, nó có vẻ là một chương trình khá đơn giản, một công cụ quản lý thiết bị di động (MDM). Các ứng dụng như vậy thường được sử dụng cho các doanh nghiệp để theo dõi và điều khiển từ xa điện thoại của nhân viên. Tuy nhiên, theo Huss, rất có thể đây là một trong số, nếu không phải là ví dụ duy nhất về phần mềm gián điệp của Triều Tiên dành cho Applecủa điện thoại thông minh.
Huss, một nhân viên của công ty an ninh mạng Proofpoint cho biết, không có khả năng ứng dụng MDM là bất cứ thứ gì khác ngoài độc hại. Nói một cách thú vị, nó được đặt trên một máy chủ được cho là có chứa các công cụ hack khác, đặc biệt là những công cụ dành cho Microsoft Windows, rằng anh ta đã liên kết với một trong những nhóm hack lớn hơn của Triều Tiên, nhà nghiên cứu giải thích với Forbes.
Nếu công cụ iPhone thực sự là một phần mềm gián điệp, Huss vẫn chưa thấy nó được sử dụng. Anh ấy tin rằng nó hiện đang được phát triển bởi nhóm hacker có liên hệ với Triều Tiên, mặc dù Proofpoint từ chối cung cấp thêm chi tiết về nghiên cứu của anh ấy.
“Đó là điều cần để mắt tới. Tôi tin rằng họ là một tập thể khổng lồ và nếu bạn nghĩ về họ như một công ty thì họ có chu kỳ phát triển”, Huss nói thêm. “Họ tập hợp mọi thứ trong nội bộ và sau đó đến một lúc nào đó bạn cần triển khai nó … Tôi nghĩ đó là nơi chúng tôi đã bắt được họ, trong giai đoạn thử nghiệm.”
Có một hạn chế rõ ràng đối với phần mềm độc hại rõ ràng: nó sẽ yêu cầu iPhone phải được bẻ khóa trước khi có thể cài đặt. Nhưng một khi nó ở trên thiết bị, MDM độc hại có thể làm được nhiều điều, cho phép một hacker từ xa lấy cắp dữ liệu vị trí, theo dõi các cuộc gọi điện thoại và thu thập nhật ký cuộc gọi, trong số các hành động lén lút khác. Apple đã không trả lời yêu cầu bình luận về bài viết này.
Huss cho biết không hoàn toàn rõ ai đã phát triển công cụ này. “Có vẻ như họ có thể đã mua nó từ một công ty phát triển, không được phát triển trong nhà,” ông nói thêm.
Liên kết trở lại các tin tặc Triều Tiên nằm trong phần mềm độc hại khác trên cùng một máy chủ với Apple- phần mềm nhắm mục tiêu, Huss nói. Họ bao gồm Windows được cấy ghép với mã tùy chỉnh có chứa những điểm tương đồng đáng kể với phần mềm độc hại được sử dụng trong một cuộc tấn công trước đó vào Hàn Quốc, ông lưu ý.
“Chúng tôi khá chắc chắn đó là một nhóm có liên hệ với Triều Tiên vì có một số mã trùng lặp rất thuyết phục. Đó là một trong những bằng chứng duy nhất mà chúng tôi chỉ ra cho họ, nhưng sẽ cần rất nhiều kiến thức nội bộ về điều này. Huss cho biết thêm.
Triều Tiên cũng tấn công Android
Trong khi iPhone có thể là mục tiêu hấp dẫn đối với Triều Tiên, có vẻ như Android thậm chí còn hơn thế. Công ty an ninh mạng McAfee đã trình bày chi tiết các cuộc tấn công gần đây vào các thiết bị chạy hệ điều hành Google của nhóm Lazarus, có liên quan đến vụ vi phạm lớn của Sony Pictures năm 2014, mà Mỹ đã ghim vào Triều Tiên. Vào tháng 11, McAfee đã tìm thấy một ứng dụng xấu sao chép một ứng dụng hợp pháp được tìm thấy trên Google Play để đọc Kinh thánh bằng tiếng Hàn. Phát tán qua các phương tiện không xác định, hóa ra nó có mục đích độc hại ẩn giấu: cung cấp quyền truy cập cửa hậu vào điện thoại bị nhiễm.
Vào tháng 1 năm nay, McAfee cho biết họ đã tìm thấy phần mềm độc hại Android được gửi qua các cuộc tấn công lừa đảo trên Facebook và ứng dụng trò chuyện KakaoTalk. Các mục tiêu bao gồm các nhà báo và những người đào tẩu Triều Tiên đã được gửi liên kết khuyến khích họ tải xuống hai ứng dụng riêng biệt, một ứng dụng có tên là Cầu nguyện cho Triều Tiên, ứng dụng còn lại có tên là BloodAssistant, một ứng dụng chăm sóc sức khỏe. Cả hai sẽ hút sạch thông tin bao gồm tin nhắn SMS và danh bạ, cùng với các dữ liệu khác, trước khi chuyển chúng trở lại nhóm tin tặc. Tuy nhiên, McAfee cho biết họ không thể xác định được nguồn gốc của các tin tặc và không liên kết chúng với bất kỳ phi hành đoàn nào của Triều Tiên, ngay cả khi các mục tiêu đưa ra một số dấu hiệu.
Các cuộc tấn công không chậm lại bất chấp thỏa thuận của Hàn Quốc
Có thể Triều Tiên đã giảm tốc độ tấn công thế giới bên ngoài, đặc biệt là đối với Hàn Quốc và Mỹ, sau khi Kim Jong Un đột ngột chuyển sang đàm phán hòa bình trong những tuần gần đây.
Trong khi Huss nói rằng vẫn còn quá sớm để nói liệu sẽ có bất kỳ thay đổi nào trong hành vi trực tuyến của Triều Tiên hay không, ông nói rằng vẫn chưa có bất kỳ sự giảm bớt rõ ràng nào trong các cuộc tấn công. “Tôi đã thấy một số hoạt động kể từ đó nên tôi biết họ không đột ngột dừng lại”, anh nói thêm.
Nguồn: forbes
