WhatsApp đã bị khai thác để cài đặt phần mềm gián điệp Pegasus

15:11, 27/11/2024

Các tài liệu được công bố trong cuộc chiến pháp lý đang diễn ra giữa WhatsApp của Meta và NSO Group đã tiết lộ rằng, nhà cung cấp phần mềm gián điệp của Israel đã sử dụng nhiều lỗ hổng nhắm vào ứng dụng nhắn tin để phân phối phần mềm gián điệp Pegasus.

Các tài liệu cũng chỉ ra rằng NSO Group đã nhiều lần tìm cách cài đặt công cụ giám sát xâm phạm vào thiết bị mục tiêu khi WhatsApp xây dựng các biện pháp phòng thủ mới để chống lại mối đe dọa.


Vào tháng 5/2019, WhatsApp cho biết họ đã chặn một cuộc tấn công mạng tinh vi khai thác hệ thống gọi video của mình để phát tán phần mềm độc hại Pegasus một cách lén lút. Cuộc tấn công này đã lợi dụng một lỗ hổng zero-day có định danh là CVE-2019-3568 (điểm CVSS 9,8), một lỗi tràn bộ đệm nghiêm trọng trong chức năng gọi thoại.

Các tài liệu hiện cho thấy NSO Group đã phát triển thêm một vectơ cài đặt khác (được gọi là Erised), cũng sử dụng máy chủ WhatsApp để cài đặt Pegasus. Vectơ tấn công – một lỗ hổng không cần nhấp chuột có thể xâm nhập vào điện thoại của nạn nhân mà không cần bất kỳ tương tác nào từ nạn nhân đã bị vô hiệu hóa vào một thời điểm sau tháng 5/2020, cho thấy nó vẫn được sử dụng ngay cả sau khi WhatsApp đệ đơn kiện vào tháng 10/2019.

Erised được cho là một trong nhiều vectơ phần mềm độc hại, được gọi chung là Hummingbird mà tập đoàn NSO đã thiết kế để cài đặt Pegasus bằng cách sử dụng WhatsApp làm phương tiện, bao gồm cả những vectơ được theo dõi là Heaven và Eden, trong đó vectơ sau là tên mã của CVE-2019-3568 và đã được sử dụng để nhắm mục tiêu vào khoảng 1.400 thiết bị.

Các bản cập nhật bảo mật phía máy chủ do WhatsApp thực hiện vào cuối năm 2018 được cho là đã thúc đẩy công ty phát triển 1 lỗ hổng mới, có tên là Eden vào tháng 2/2019, giúp loại bỏ nhu cầu sử dụng máy chủ chuyển tiếp của NSO Group để chuyển tiếp sang sử dụng các máy chủ chuyển tiếp do WhatsApp vận hành.

NSO từ chối nêu rõ liệu họ có phát triển thêm các Vectơ phần mềm độc hại dựa trên WhatsApp sau ngày 10/5/2020 hay không, nhưng NSO cũng thừa nhận các vectơ phần mềm độc hại đã được sử dụng để cài đặt thành công Pegasus trên hàng trăm đến hàng chục nghìn thiết bị.

NSO Group đã nhiều lần khẳng định rằng sản phẩm của họ được dùng để chống lại tội phạm nghiêm trọng và khủng bố. Họ cũng nhấn mạnh rằng khách hàng của họ có trách nhiệm quản lý hệ thống và có quyền truy cập vào thông tin tình báo mà hệ thống thu thập được.

Vào tháng 9/2024, Apple đã đệ đơn tự nguyện bác bỏ vụ kiện chống lại NSO Group, với lý do bối cảnh rủi ro thay đổi có thể dẫn đến việc tiết lộ thông tin tình báo và có khả năng gây rủi ro cho thông tin bảo mật quan trọng.

Trong những năm qua, nhà sản xuất iPhone đã liên tục bổ sung các tính năng bảo mật mới để gây khó khăn cho các cuộc tấn công phần mềm gián điệp. Hai năm trước, họ đã giới thiệu Chế độ khóa như một cách để tăng cường khả năng phòng thủ của thiết bị bằng cách giảm chức năng trên nhiều ứng dụng khác nhau như FaceTime và Tin nhắn.

Ngày 18/11, xuất hiện các báo cáo về một cơ chế bảo mật mới trong phiên bản beta của iOS 18.2 có chức năng tự động khởi động lại điện thoại nếu không mở khóa trong 72 giờ, yêu cầu người dùng, bao gồm cả các cơ quan thực thi pháp luật có thể truy cập vào điện thoại của nghi phạm, phải nhập lại mật khẩu để có thể truy cập thiết bị.

Magnet Forensics, công ty cung cấp công cụ trích xuất dữ liệu có tên GrayKey, đã xác nhận tính năng khởi động lại khi không hoạt động, tính năng kích hoạt này liên quan đến trạng thái khóa của thiết bị và khi thiết bị chuyển sang trạng thái khóa và không được mở khóa trong vòng 72 giờ, thiết bị sẽ khởi động lại.