Mã độc khai thác nhân thế hệ mới
Đội ngũ Nghiên cứu và Phân tích Toàn cầu (GReAT) của Kaspersky vừa công bố phát hiện cho thấy bộ mã khai thác mang tên Coruna (từng được Apple và Google cảnh báo) không phải tập hợp rời rạc, mà là phiên bản kế nhiệm trực tiếp và được nâng cấp liên tục từ khung phần mềm từng được sử dụng trong chiến dịch gián điệp an ninh mạng khét tiếng Operation Triangulation.
Sự tiến hóa của bộ công cụ này đánh dấu một bước chuyển mình nguy hiểm, từ công cụ gián điệp tinh vi nhắm vào các mục tiêu cụ thể, nay đã trở thành vũ khí công nghệ được sử dụng để tấn công đại trà trên diện rộng.
Thông qua phân tích chuyên sâu các tệp nhị phân, các chuyên gia Kaspersky khẳng định mã khai thác lỗ hổng nhân (kernel exploit) của Coruna và Triangulation nhiều khả năng được phát triển bởi cùng một tác giả. Bằng chứng được xác định thông qua việc tìm thấy sự tương đồng ở cả mã khai thác nhân và các thành phần khác của Coruna.
Ngày càng nhiều chiến dịch tấn công bằng mã độc nhắm vào thiết bị Apple
Ảnh: Michael Geiger/Unsplash
Trong bộ tập hợp Coruna, các nhà nghiên cứu xác định được năm mã khai thác lỗ hổng bên trong nhân hệ điều hành. Đáng chú ý, một trong số này là phiên bản cập nhật của mã khai thác từng bị phát hiện trong chiến dịch Operation Triangulation vào năm 2023. Bốn mã còn lại, bao gồm cả hai phiên bản được phát triển sau, đều được xây dựng dựa trên cùng một khung gốc.
Operation Triangulation – tiền thân của Coruna, là một chiến dịch tấn công có chủ đích (APT) quy mô lớn nhắm vào các thiết bị iOS, bị phát giác vào tháng 6.2023 khi nhắm mục tiêu vào máy iPhone của hàng chục nhân viên công ty, khai thác bốn lỗ hổng zero-day gây ảnh hưởng đến nhiều sản phẩm của Apple.
Tấn công toàn diện các thiết bị Apple hiện đại
Sức mạnh của Coruna thể hiện qua khả năng tương thích vượt trội với các dòng chip và hệ điều hành mới nhất của Apple. Mã khai thác này được thiết kế để chạy trên các thiết bị sử dụng bộ vi xử lý A17, cũng như các dòng chip M3, M3 Pro và M3 Max.
Coruna nhắm vào các phiên bản iOS cho đến 17.2 (ra mắt cuối năm 2023). Những kẻ đứng sau còn tích hợp lệnh kiểm tra riêng biệt dành cho iOS 16.5 beta 4 – phiên bản iOS được Apple tung ra nhằm mục đích vá lỗ hổng bảo mật từng chỉ ra trong báo cáo trước đó. Điều này cho thấy các tác nhân đe dọa không ngừng tìm cách phá vỡ các biện pháp bảo mật của Apple.
Ông Boris Larin, chuyên gia nghiên cứu bảo mật cấp cao tại GReAT của Kaspersky, cho biết: “Việc xuất hiện các cơ chế nhận diện bộ vi xử lý đời mới như M3 hay các phiên bản iOS gần đây cho thấy những kẻ phát triển ban đầu đang ráo riết mở rộng kho mã khai thác nhằm duy trì mức độ tấn công”.
Trước nguy cơ mới, các chuyên gia bảo mật khuyến nghị người dùng iPhone cập nhật hệ điều hành iOS lên phiên bản mới nhất. Apple đã vá những lỗ hổng bị Coruna khai thác, nhưng nếu thiết bị chưa được cập nhật bản vá thì vẫn nằm trong tầm ngắm của cuộc tấn công.
Nguồn: https://thanhnien.vn/ma-doc-the-he-moi-nham-vao-thiet-bi-ios-va-chip-apple-m3-18526040215200243.htm
