Nhóm phân tích mối đe dọa (TAG) của Google đã phát hiện ra một số chuỗi khai thác sử dụng lỗ hổng zero-day và n-day của Android, iOS và Chrome để cài đặt phần mềm gián điệp thương mại và ứng dụng độc hại trên thiết bị của mục tiêu.
Chiến dịch tấn công đầu tiên
Các tin tặc đã nhắm mục tiêu đến người dùng iOS và Android bằng các chuỗi khai thác riêng biệt như một phần của chiến dịch đầu tiên được phát hiện vào tháng 11/2022.
Đáng chú ý, tin tặc đã sử dụng tin nhắn văn bản đẩy các liên kết rút gọn bit.ly qua tin nhắn SMS tới người dùng ở Ý, Malaysia và Kazakhstan. Khi nhấp vào, các URL sẽ chuyển hướng nạn nhân đến các trang web lưu trữ các khai thác trên Android và iOS, trước khi họ được chuyển hướng lại đến các trang web theo dõi bán hàng hoặc tin tức hợp pháp.
Chuỗi khai thác tận dụng nhiều lỗi, bao gồm: lỗi thực thi mã từ xa WebKit iOS (CVE-2022-42856), lỗ hổng sandbox escape (CVE-2021-30900) và lỗi bỏ qua xác thực con trỏ (PAC). Trên các thiết bị iOS bị xâm nhập, các tin tặc đã giảm khối lượng payload cho phép chúng theo dõi vị trí của nạn nhân và cài đặt các tệp .IPA (tệp lưu trữ ứng dụng iOS).
Là một phần của chiến dịch, một chuỗi khai thác Android cũng được sử dụng để tấn công các thiết bị có GPU ARM bằng lỗ hổng tràn bộ đệm heap trong trình duyệt web Chrome (CVE-2022-4135), một lỗi leo thang đặc quyền ARM (CVE-2022-38181) và lỗi Chrome type confusion (CVE-2022-3723) với một payload không xác định.
“Khi ARM phát hành bản sửa lỗi cho CVE-2022-38181, các nhà cung cấp bao gồm Pixel, Samsung, Xiaomi, Oppo và một số hãng công nghệ khác đã không tích hợp các bản vá bảo mật, dẫn đến tình trạng các tin tặc có thể tự do khai thác lỗi trong vài tháng”, nhà nghiên cứu Clément Lecigne của Google Tag cho biết.
Chiến dịch tấn công thứ hai nhắm vào người dùng Samsung
Chiến dịch thứ hai được phát hiện vào tháng 12/2022, sau khi các nhà nghiên cứu của Google TAG tìm thấy một chuỗi khai thác bao gồm một số lỗi zero-day và n-day, nhắm mục tiêu đến các phiên bản cập nhật mới nhất trên Trình duyệt Internet của Samsung, với các khai thác được phân phối dưới dạng liên kết một lần qua SMS tới các thiết bị ở UAE.
Các mục tiêu đã được chuyển hướng đến các trang khai thác tương tự như những trang được sử dụng bởi công ty phần mềm gián điệp Variston IT của Tây Ban Nha. Cuối cùng, chuỗi khai thác đã triển khai thành công bộ công cụ phần mềm gián điệp dựa trên C++ dành cho Android, với các thư viện hoàn chỉnh được thiết kế để giải mã và trích xuất dữ liệu từ nhiều ứng dụng trình duyệt và trò chuyện.
Các lỗ hổng bị khai thác bao gồm: CVE-2022-4262, CVE-2022-3038, CVE-2022-22706, CVE-2023-0266, CVE-2023-26083. Chuỗi khai thác này được cho là đã được sử dụng bởi một khách hàng hoặc đối tác của Variston IT.
“Cả hai chiến dịch đều được nhắm mục tiêu cao và các tin tặc đã lợi dụng khoảng cách thời gian bản vá giữa thời điểm phát hành bản sửa lỗi và thời điểm nó thực sự được triển khai trên các thiết bị được nhắm mục tiêu. Các chiến dịch này cũng có thể chỉ ra rằng các khai thác và kỹ thuật đang được chia sẻ giữa các nhà cung cấp giám sát, cho phép phổ biến các công cụ tấn công nguy hiểm”, Lecigne cho biết.
Liên quan đến hai chiến dịch, Tổ chức Ân xá Quốc tế cũng đã công bố các thông tin liên quan đến các tên miền và cơ sở hạ tầng được sử dụng trong các cuộc tấn công, đồng thời cho biết trong một báo cáo: “Chiến dịch phần mềm gián điệp mới được phát hiện đã hoạt động ít nhất từ năm 2020 và nhắm mục tiêu vào các thiết bị di động và máy tính để bàn, bao gồm cả người dùng hệ điều hành Android của Google”.
“Phần mềm gián điệp và khai thác zero-day đã được phân phối từ một mạng lưới rộng lớn gồm hơn 1000 tên miền độc hại, bao gồm cả tên miền giả mạo các trang web truyền thông ở nhiều quốc gia”.
Điều đó thể hiện rằng, quy mô của hai chiến dịch và bản chất của các mục tiêu hiện chưa được xác định cụ thể. Những tiết lộ này được đưa ra chỉ vài ngày sau khi chính phủ Hoa Kỳ công bố một Sắc lệnh hành pháp hạn chế các cơ quan liên bang sử dụng phần mềm gián điệp thương mại gây rủi ro an ninh quốc gia.
Google tiếp tục theo dõi các nhà cung cấp phần mềm gián điệp
Google đang rất nỗ lực để theo dõi thị trường phần mềm gián điệp, các công nghệ giám sát và lỗ hổng zero-day được các tin tặc khai thác nhằm cài đặt triển khai nhiều công cụ độc hại trên các thiết bị dễ bị tấn công.
“Mặc dù việc sử dụng các công nghệ giám sát có thể hợp pháp theo luật pháp quốc gia hoặc quốc tế, nhưng chúng thường được các chính phủ sử dụng để nhắm mục tiêu vào những người bất đồng chính kiến, nhà báo, nhân viên nhân quyền và các chính trị gia của đảng đối lập”, Lecigne chia sẻ thêm.
Tháng 5/2022, Google cho biết họ đang tích cực theo dõi hơn 30 nhà cung cấp giám sát mạng thương mại khác nhau được biết là bán cho các nhóm tin tặc do chính phủ tài trợ trên toàn thế giới để thực hiện các cuộc tấn công phần mềm gián điệp có mục tiêu. Cũng trong tháng này, một chiến dịch tấn công đã được Google TAG đưa ra ánh sáng, trong đó một số nhóm tin tặc được chính phủ tài trợ đã khai thác 5 lỗ hổng zero-day để cài đặt phần mềm gián điệp Predator do Cytrox phát triển.
Theo Google, vào tháng 6/2022 một số nhà cung cấp dịch vụ Internet (ISP) được phát hiện đã hỗ trợ nhà cung cấp phần mềm gián điệp RCS Labs của Ý để tiến hành lây nhiễm trên các thiết bị của người dùng Android và iOS ở Ý và Kazakhstan bằng các công cụ giám sát thương mại.
“Những chiến dịch này là một lời nhắc nhở rằng ngành công nghiệp phần mềm gián điệp thương mại tiếp tục phát triển mạnh. Ngay cả các nhà cung cấp dịch vụ giám sát nhỏ hơn cũng có quyền truy cập vào lỗ hổng zero-day và sử dụng các lỗ hổng zero-day một cách bí mật sẽ gây rủi ro nghiêm trọng cho Internet”, Lecigne nhận xét.
Google xác nhận rằng họ đã báo cáo các lỗ hổng này cho các nhà cung cấp và họ đã nhanh chóng phát hành các bản vá cho tất cả các lỗ hổng đó.