Buzz
Được biết, số tiền mà Kaspersky nên nhận được lên đến 1 triệu USD.
Kaspersky, công ty bảo mật mạng nổi tiếng của Nga, đã thu hút sự chú ý của dư luận vào năm ngoái sau khi phát hiện chuỗi tấn công sử dụng bốn lỗ hổng zero-day trên iOS để tạo ra lỗ hổng khai thác zero-click. Kaspersky đã xác định và báo cáo một trong những lỗ hổng này cho Apple. Tuy nhiên, trong một diễn biến đáng tiếc, Apple được cho là đã từ chối trả tiền thưởng lỗ hổng cho nỗ lực của công ty.
Các công ty công nghệ lớn như Apple thường sử dụng chương trình thưởng lỗ hổng để khuyến khích các nhà nghiên cứu và hacker tìm và báo cáo lỗ hổng cho họ thay vì bán chúng cho những kẻ xấu, thường là các quốc gia, những kẻ có thể lợi dụng chúng.
'Chúng tôi đã phát hiện các lỗ hổng zero-day, zero-click, chuyển giao tất cả thông tin cho Apple và đã thực hiện một công việc hữu ích,' Dmitry Galov, Giám đốc Trung tâm nghiên cứu của Kaspersky Lab tại Nga, nói với RTVI, một hãng thông tấn của Nga. 'Về bản chất, chúng tôi đã báo cáo lỗ hổng cho họ, và họ phải trả tiền thưởng lỗ hổng cho việc này.'
Galov còn đề xuất Kaspersky quyên góp tiền thưởng cho tổ chức từ thiện, nhưng Apple đã từ chối, dẫn theo chính sách nội bộ mà không giải thích rõ ràng. Việc các công ty nghiên cứu quyên góp tiền thưởng từ các công ty lớn để từ thiện không phải là điều hiếm gặp. Một số người xem đó là việc mở rộng nghĩa vụ đạo đức của họ, nhưng không thể phủ nhận rằng nó cũng góp phần xây dựng danh tiếng tích cực trong cộng đồng bảo mật.
'Xét về số lượng thông tin mà chúng tôi cung cấp và mức độ tích cực của chúng tôi, thì không rõ tại sao họ lại đưa ra quyết định như vậy.'
Trụ sở của Kaspersky tại Moscow, Nga
Trong năm 2023, Kaspersky đã tiết lộ một chiến dịch gián điệp phức tạp được cho là rất phức tạp khi phát hiện ra các hoạt động bất thường từ hàng chục iPhone trên mạng của họ. Chiến dịch này được gọi là Operation Triangulation, được coi là cuộc tấn công iOS phức tạp nhất từng được thực hiện.
Cuộc tấn công sử dụng chuỗi bốn lỗ hổng zero-day được kết nối với nhau để tạo ra lỗ hổng khai thác zero-click. Điều này cho phép kẻ tấn công tăng quyền truy cập và thực thi mã từ xa trên các iPhone bị xâm phạm. Người dùng sẽ không nhận ra thiết bị của họ bị nhiễm phần mềm độc hại vì nó sẽ truyền dữ liệu nhạy cảm, bao gồm bản ghi âm micrô, ảnh và vị trí địa lý, đến các máy chủ được kiểm soát bởi kẻ tấn công.
Kaspersky không chỉ phát hiện ra chiến dịch này mà còn giải mã một trong những lỗ hổng trong chuỗi tấn công, được gọi là CVE-2023-38606. Họ phát hiện ra rằng nhân (kernel) của hệ điều hành iOS được sử dụng để thực thi mã tùy ý và nâng cao quyền truy cập của người dùng. Apple đã được thông báo và không lâu sau đó, công ty đã phát hành các bản vá bảo mật khẩn cấp, ghi nhận nhóm nghiên cứu của Kaspersky là người phát hiện ra lỗ hổng.
Theo Chương trình Tiền thưởng Lỗ hổng của Apple, phần thưởng cho việc phát hiện các lỗ hổng như vậy có thể lên đến 1 triệu USD. Việc duy trì mức thưởng này là rất quan trọng, vì các lỗ hổng zero-day trên iOS chưa được báo cáo có thể được bán với giá cao hơn nhiều so với một triệu USD trên các thị trường ngầm.
Mặc dù Kaspersky là một công ty đa quốc gia, nhưng công ty này được thành lập và có trụ sở chính tại Nga, một quốc gia đang chịu sự trừng phạt nặng nề từ Mỹ do cuộc xung đột ở Ukraine. Điều này có thể tạo ra hạn chế nghiêm trọng đối với các giao dịch tài chính giữa các công ty Mỹ và các công ty trong khu vực.
Theo điều khoản và điều kiện của Chương trình Tiền thưởng Lỗ hổng của Apple, 'Phần thưởng có thể không được trả cho bạn nếu bạn ở trong bất kỳ quốc gia nào bị cấm vận bởi Mỹ hoặc nằm trong danh sách công dân đặc biệt của Bộ Tài chính Mỹ, danh sách người bị từ chối của Bộ Thương mại Mỹ hoặc bất kỳ danh sách bên nào khác bị hạn chế.'
