Ngày 29 tháng 3 năm 2023Ravie LakshmananNgày không / bảo mật di động
Một số lỗ hổng zero-day đã được giải quyết vào năm ngoái đã bị các nhà cung cấp phần mềm gián điệp thương mại khai thác để nhắm mục tiêu vào các thiết bị Android và iOS, Nhóm phân tích mối đe dọa của Google (TAG) đã tiết lộ.
Hai chiến dịch riêng biệt đều có giới hạn và được nhắm mục tiêu cao, tận dụng khoảng cách bản vá giữa thời điểm phát hành bản sửa lỗi và thời điểm nó thực sự được triển khai trên các thiết bị được nhắm mục tiêu.
“Các nhà cung cấp này đang tạo điều kiện cho sự phổ biến của các công cụ hack nguy hiểm, trang bị vũ khí cho các chính phủ không thể tự phát triển các khả năng này”, Clement Lecigne của TAG cho biết trong một báo cáo mới.
“Mặc dù việc sử dụng các công nghệ giám sát có thể hợp pháp theo luật pháp quốc gia hoặc quốc tế, nhưng chúng thường được các chính phủ sử dụng để nhắm mục tiêu vào những người bất đồng chính kiến, nhà báo, nhân viên nhân quyền và các chính trị gia của đảng đối lập.”
Hoạt động đầu tiên trong số hai hoạt động diễn ra vào tháng 11 năm 2022 và liên quan đến việc gửi các liên kết rút gọn qua tin nhắn SMS tới người dùng ở Ý, Malaysia và Kazakhstan.
Khi nhấp vào, các URL sẽ chuyển hướng người nhận đến các trang web lưu trữ các khai thác dành cho Android hoặc iOS, trước khi họ được chuyển hướng lại đến các trang web theo dõi lô hàng hoặc tin tức hợp pháp.
Chuỗi khai thác iOS tận dụng nhiều lỗi, bao gồm CVE-2022-42856 (lúc đó là zero-day), CVE-2021-30900 và bỏ qua mã xác thực con trỏ (PAC), để cài đặt tệp .IPA vào thiết bị dễ bị tấn công.
Chuỗi khai thác Android bao gồm ba khai thác – CVE-2022-3723, CVE-2022-4135 (zero-day tại thời điểm lạm dụng) và CVE-2022-38181 – để cung cấp một tải trọng không xác định.
Mặc dù CVE-2022-38181, một lỗi leo thang đặc quyền ảnh hưởng đến Trình điều khiển hạt nhân GPU Mali, đã được Arm vá vào tháng 8 năm 2022, nhưng vẫn chưa biết liệu kẻ thù đã sở hữu bản khai thác lỗ hổng này trước khi phát hành bản vá hay chưa.
Một điểm lưu ý khác là người dùng Android đã nhấp vào liên kết và mở nó trong Trình duyệt Internet của Samsung đã được chuyển hướng đến Chrome bằng phương pháp gọi là chuyển hướng ý định.
Chiến dịch thứ hai, được quan sát vào tháng 12 năm 2022, bao gồm một số zero-day và n-day nhắm mục tiêu phiên bản mới nhất của Samsung Internet Browser, với các khai thác được phân phối dưới dạng liên kết một lần qua SMS tới các thiết bị ở UAE
Trang web này, tương tự như những trang được sử dụng bởi công ty phần mềm gián điệp Variston IT của Tây Ban Nha, cuối cùng đã cấy một bộ công cụ độc hại dựa trên C++ có khả năng thu thập dữ liệu từ các ứng dụng trình duyệt và trò chuyện.
Các lỗ hổng bị khai thác bao gồm CVE-2022-4262, CVE-2022-3038, CVE-2022-22706, CVE-2023-0266 và CVE-2023-26083. Chuỗi khai thác được cho là đã được sử dụng bởi một khách hàng hoặc đối tác của Variston IT.
Điều đó nói rằng, quy mô của hai chiến dịch và bản chất của các mục tiêu hiện chưa được biết.
Những tiết lộ được đưa ra chỉ vài ngày sau khi chính phủ Hoa Kỳ công bố lệnh hành pháp hạn chế các cơ quan liên bang sử dụng phần mềm gián điệp thương mại gây rủi ro an ninh quốc gia.
“Những chiến dịch này là một lời nhắc nhở rằng ngành công nghiệp phần mềm gián điệp thương mại tiếp tục phát triển mạnh,” Lecigne nói. “Ngay cả các nhà cung cấp dịch vụ giám sát nhỏ hơn cũng có quyền truy cập vào lỗ hổng zero-day và các nhà cung cấp dự trữ và sử dụng các lỗ hổng zero-day một cách bí mật sẽ gây rủi ro nghiêm trọng cho Internet.”
“Các chiến dịch này cũng có thể chỉ ra rằng các khai thác và kỹ thuật đang được chia sẻ giữa các nhà cung cấp giám sát, cho phép phổ biến các công cụ hack nguy hiểm.”
