Mặc dù những kẻ tấn công trong Chiến dịch Tam giác vẫn còn là một bí ẩn nhưng những suy đoán đã bắt đầu. Các nhà nghiên cứu của Kaspersky đã phát hiện ra một chiến dịch APT di động chưa từng được biết đến trước đây nhắm mục tiêu vào các thiết bị iOS. Chiến dịch mà họ gọi là Operation Triangulation, sử dụng cách khai thác không cần nhấp chuột để lây nhiễm các thiết bị thông qua nền tảng iMessage. Sau khi bị nhiễm, phần mềm độc hại sẽ chạy với quyền root, giúp kẻ tấn công có toàn quyền kiểm soát thiết bị và dữ liệu người dùng.
Thời tiết lạnh giá: Cùng lúc với cuộc điều tra của Kaspersky, cơ quan tình báo và an ninh FSB (Cơ quan An ninh Liên bang) của Nga đã đưa ra tuyên bố rằng Apple đang làm việc với NSA. Cơ quan An ninh Liên bang Nga yêu sách cái đó Apple đã cố tình cung cấp cho Cơ quan An ninh Quốc gia (NSA) một cửa hậu, cho phép phần mềm độc hại lây nhiễm vào iPhone ở Nga. Họ tuyên bố rằng một số lượng lớn các thiết bị bị tấn công của các quan chức chính phủ Nga và nhân viên từ nhiều đại sứ quán khác nhau là bằng chứng rõ ràng hơn cho điều này. FSB đã đưa ra những khẳng định này nhưng không đưa ra bất kỳ bằng chứng nào.
Một chỉ thị trước đây của Nga đã hướng dẫn các nhân viên tổng thống và nhân viên chính phủ thực hiện ngừng sử dụng iPhone và các sản phẩm khác được phát triển ở Mỹ. Các cuộc tấn công mạng vào trụ sở Moscow và nhân viên quốc tế của Kaspersky đã được xác minh. Tuy nhiên, doanh nghiệp đã nói rõ rằng nếu không có quyền truy cập vào dữ liệu điều tra kỹ thuật của chính phủ, họ không thể xác thực mối quan hệ trực tiếp giữa kết quả của mình và báo cáo của FSB. Tuy nhiên, CERT của Nga đã đưa ra cảnh báo phù hợp với kết quả của Kaspersky và tuyên bố của FSB.
Gặp Trojan iPhone: Hoạt động tam giác hoạt động như thế nào?
Giai đoạn đầu tiên của Operation Triangulation liên quan đến việc gửi cho nạn nhân một tệp đính kèm iMessage độc hại. Tệp đính kèm có vẻ là tệp hợp pháp, chẳng hạn như tệp PDF hoặc hình ảnh. Tuy nhiên, khi nạn nhân mở tệp đính kèm, phần mềm độc hại sẽ được cài đặt trên thiết bị.
Sau đó, phần mềm độc hại sử dụng cách khai thác không cần nhấp chuột để giành quyền root trên thiết bị. Điều này có nghĩa là kẻ tấn công có thể làm bất cứ điều gì chúng muốn với thiết bị, bao gồm đánh cắp dữ liệu, cài đặt phần mềm độc hại bổ sung hoặc kiểm soát thiết bị từ xa.
Dựa theo Kaspersky, bằng chứng sớm nhất về việc lây nhiễm có từ năm 2019, tuy nhiên phần mềm độc hại vẫn lây nhiễm sang iPhone cho đến ngày nay. Về mặt tích cực, việc khai thác chỉ được thấy trên iPhone chạy iOS 15.7 hoặc sớm hơn. Apple đã phát hành iOS 15.7 vào tháng 9 năm 2022 và theo Apple Cổng thông tin dành cho nhà phát triển, hơn 80% tổng số iPhone đang chạy iOS 16 trở lên.
Trong mọi trường hợp, Eugene Kaspersky khẳng định rằng “trọng tâm chính của vụ hack này không phải là Kaspersky Lab”. Tại sao nhiều sản phẩm của Kaspersky bị ảnh hưởng, cuộc tấn công phần mềm gián điệp thực sự rộng đến mức nào và liệu người dùng iPhone thông thường có gặp rủi ro hay không đều là những câu hỏi vẫn chưa được giải đáp.
Trong khi đó, chỉ còn một lý do nữa để bạn cập nhật hệ điều hành iPhone thường xuyên.
Xem cách tính năng Photoshop AI Generative Fill thay đổi cuộc sống của các nhà thiết kế như thế nào, một chủ đề
Hoạt động tam giác: Làm thế nào để bảo vệ bạn khỏi trojan iPhone?
Có một số biện pháp chống lại các chiến dịch APT trên thiết bị di động như Operation Triangulation và đây là một số biện pháp mà bạn có thể dễ dàng thực hiện:
- Không mở tệp đính kèm từ người gửi không xác định: Ngay cả khi tệp đính kèm có vẻ đến từ một nguồn hợp pháp, tốt nhất bạn nên thận trọng và không mở nó.
- Luôn cập nhật hệ điều hành và ứng dụng của thiết bị: Các bản cập nhật phần mềm thường bao gồm các bản vá bảo mật có thể giúp bảo vệ thiết bị của bạn khỏi các lỗ hổng đã biết.
- Sử dụng giải pháp bảo mật có thể phát hiện và chặn ứng dụng độc hại: Giải pháp bảo mật tốt có thể giúp bảo vệ thiết bị của bạn khỏi phần mềm độc hại, ngay cả khi bạn mở tệp đính kèm độc hại.
Theo Kaspersky, phần mềm độc hại Operation Triangulation gây ra rủi ro đáng kể cho người dùng iOS. Các kỹ thuật tiên tiến được sử dụng trong chiến dịch này cho phép kẻ tấn công lây nhiễm vào các thiết bị và chiếm toàn quyền kiểm soát chúng. Điều quan trọng là phải bảo mật thiết bị di động của bạn trước chiến thuật này và các chiến thuật APT tương tự.
