Google Cảnh Báo về Phần Mềm Điều Tra Mới Đối với Người Dùng iOS và Android

Trong cuộc điều trần trong tuần này, nhà cung cấp phần mềm điều tra nổi tiếng NSO group đã cho biết trước các nhà lập pháp châu Âu rằng ít nhất năm quốc gia thuộc Liên minh châu Âu đã sử dụng phần mềm định vị Pegasus mạnh mẽ của nó. Nhưng khi thông tin ngày càng được rõ về thực tế về cách sản phẩm của NSO đã bị lạm dụng trên toàn thế giới, các nhà nghiên cứu cũng đang nỗ lực nâng cao nhận thức rằng ngành công nghiệp gián điệp thuê chuyển đến xa hơn một công ty duy nhất. Vào thứ Năm, Nhóm Phân Tích Rủi Ro của Google và nhóm phân tích lỗ hổng Project Zero đã công bố kết quả về phiên bản iOS của một sản phẩm phần mềm điều tra được gán cho nhà phát triển Ý RCS Labs.

Các nhà nghiên cứu của Google cho biết họ đã phát hiện ra những nạn nhân của phần mềm điều tra ở Ý và Kazakhstan trên cả thiết bị Android và iOS. Tuần trước, công ty bảo mật Lookout đã công bố kết quả về phiên bản Android của phần mềm điều tra, mà nó gọi là “Hermit” và cũng gán cho RCS Labs. Lookout lưu ý rằng các quan chức Ý đã sử dụng một phiên bản của phần mềm điều tra trong cuộc điều tra chống tham nhũng năm 2019. Ngoài những nạn nhân ở Ý và Kazakhstan, Lookout cũng phát hiện ra dữ liệu cho thấy một thực thể không xác định đã sử dụng phần mềm điều tra để định mục tiêu ở miền đông bắc Syria.

“Google đã theo dõi hoạt động của các nhà cung cấp phần mềm điều tra thương mại trong nhiều năm, và trong thời gian đó chúng tôi đã thấy ngành công nghiệp này nhanh chóng mở rộng từ vài nhà cung cấp thành một hệ sinh thái hoàn chỉnh,” kỹ sư an ninh TAG Clement Lecigne nói với MYTOUR. “Những nhà cung cấp này đang tạo điều kiện cho sự lan rộng của các công cụ hacking nguy hiểm, trang bị cho các chính phủ không thể phát triển những khả năng này trong nhà. Nhưng hiện chưa có sự minh bạch nào đối với ngành công nghiệp này, đó là lý do tại sao việc chia sẻ thông tin về những nhà cung cấp và khả năng của họ là quan trọng.”

TAG nói rằng hiện nay họ đang theo dõi hơn 30 nhà sản xuất phần mềm điều tra cung cấp một loạt các khả năng kỹ thuật và mức độ phức tạp đối với các khách hàng được hỗ trợ bởi chính phủ.

Trong phân tích về phiên bản iOS, các nhà nghiên cứu của Google phát hiện rằng những kẻ tấn công đã phân phối phần mềm điều tra iOS bằng cách sử dụng một ứng dụng giả mạo được thiết kế để giống như ứng dụng My Vodafone từ nhà cung cấp di động quốc tế phổ biến. Trong cả các cuộc tấn công trên cả Android và iOS, những kẻ tấn công có thể đã đơn giản là lừa gạt mục tiêu để tải xuống một ứng dụng nhắn tin bằng cách phân phối một liên kết độc hại để nạn nhân nhấp vào. Nhưng trong một số trường hợp đặc biệt kịch tính của việc tấn công iOS, Google phát hiện rằng những kẻ tấn công có thể đã hợp tác với các nhà cung cấp dịch vụ Internet địa phương để cắt kết nối dữ liệu di động của một người dùng cụ thể, gửi cho họ một liên kết tải xuống độc hại qua SMS và thuyết phục họ cài đặt ứng dụng giả mạo My Vodafone qua Wi-Fi với hứa hẹn rằng điều này sẽ khôi phục dịch vụ di động của họ.

Những kẻ tấn công có thể phân phối ứng dụng độc hại vì RCS Labs đã đăng ký với Chương trình Phát triển Doanh nghiệp của Apple, có vẻ thông qua một công ty mồ côi có tên 3-1 Mobile SRL, để có được một chứng chỉ cho phép họ sideload ứng dụng mà không cần thông qua quy trình xem xét AppStore thông thường của Apple.

Apple thông báo cho MYTOUR rằng tất cả các tài khoản và chứng chỉ được biết đến liên quan đến chiến dịch phần mềm điều tra đã được thu hồi.

“Chứng chỉ Doanh nghiệp chỉ dành cho việc sử dụng nội bộ bởi một công ty và không dành cho phân phối ứng dụng chung, vì chúng có thể được sử dụng để vượt qua bảo vệ của App Store và iOS,” công ty viết trong một bản báo cáo tháng 10 về sideloading. “Mặc dù chương trình có kiểm soát chặt chẽ và quy mô hạn chế, nhưng những người xấu đã tìm ra cách trái phép để truy cập nó, ví dụ như bằng cách mua chứng chỉ doanh nghiệp trên thị trường đen.”

Thành viên Project Zero Ian Beer thực hiện phân tích kỹ thuật về những kỹ thuật tấn công được sử dụng trong phần mềm malware iOS của RCS Labs. Anh lưu ý rằng phần mềm điều tra sử dụng tổng cộng sáu kỹ thuật tấn công để theo dõi thiết bị của nạn nhân. Trong khi có năm kỹ thuật tấn công đã biết và công cộng dành cho các phiên bản iOS cũ hơn, thì kỹ thuật thứ sáu là một lỗ hổng không biết vào thời điểm phát hiện. (Apple đã vá lỗ hổng đó vào tháng 12.) Lỗ hổng này tận dụng các thay đổi cấu trúc trong cách dữ liệu di chuyển qua các thế hệ “coprocessors” mới của Apple khi công ty và toàn bộ ngành công nghiệp di chuyển đến kiểu thiết kế “system-on-a-chip” tất cả trong một.

Kỹ thuật tấn công không có gì là mới mẻ về độ phức tạp, nhưng các nhà nghiên cứu của Google lưu ý rằng phần mềm điều tra của RCS Labs phản ánh một xu hướng rộng lớn hơn trong ngành công nghiệp gián điệp thuê, nơi kết hợp các kỹ thuật tấn công và khai thác hiện đại với các yếu tố mới để chiếm ưu thế. 

“Ngành công nghiệp gián điệp thương mại hưởng lợi và tái sử dụng nghiên cứu từ cộng đồng jailbreaking. Trong trường hợp này, ba trong số sáu kỹ thuật tấn công đến từ các kỹ thuật jailbreak công cộng,” thành viên TAG Benoit Sevens nói. “Chúng tôi cũng thấy các nhà cung cấp gián điệp khác tái sử dụng kỹ thuật và vectơ nhiễm ban đầu được sử dụng và phát hiện bởi các nhóm tội phạm mạng. Và giống như các kẻ tấn công khác, các nhà cung cấp gián điệp không chỉ sử dụng kỹ thuật tấn công phức tạp mà còn sử dụng cuộc tấn công kỹ thuật xã hội để mời gọi nạn nhân của họ.”

Nghiên cứu chỉ ra rằng trong khi không phải tất cả các bên tham gia đều thành công hoặc nổi tiếng như một công ty như NSO Group, nhiều bên tham gia nhỏ và trung bình cùng nhau trong một ngành công nghiệp đang nở rộ đang tạo ra rủi ro thực sự cho người dùng Internet trên toàn thế giới.