- Các cuộc tấn công bằng mã độc Operation Triangulation nhằm vào các thiết bị Apple iOS đã sử dụng các phương thức khai thác chưa từng được biết đến trước đây, điều này giúp các đối tượng tấn công có thể vượt qua các biện pháp bảo mật phần cứng quan trọng của Apple.
Chiến dịch Operation Triangulation được đặt tên dựa theo kỹ thuật lấy vân tay canvas để vẽ ra một tam giác vàng, nền hồng sử dụng Web Graphics Library (WebGL) lên bộ nhớ của thiết bị. Được cho là bắt đầu hoạt động từ năm 2019 nhưng đến đầu năm 2023 chiến dịch Operation Triangulation mới bị phát hiện khi tấn công vào một cơ quan bảo mật. Đây được mô tả là chuỗi tấn công phức tạp nhất đến thời điểm đó.
Quá trình khai thác trong chiến dịch này sử dụng bốn lỗ hổng zero-day được tập hợp thành một chuỗi để đạt được mức truy cập mới và cài đặt backdoor trên các thiết bị sử dụng iOS phiên bản 16.2 trở về trước, với mục tiêu chính là thu thập thông tin quan trọng. Chuỗi tấn công bắt đầu từ một file độc hại trong iMessage được xử lý tự động, không cần sự tương tác của người dùng, nhằm leo thang đặc quyền và triển khai module spyware.
 |
| ảnh minh họa |
Cụ thể hơn, các lỗ hổng an toàn thông tin sau đã được sử dụng:
CVE-2023-41990 - Lỗ hổng trên thành phần FontParser cho phép đối tượng tấn công thực thi mã từ xa khi thiết bị xử lý một file font độc hại được gửi trên iMessage (Đã được vá trong iOS 15.7.8 và iOS 16.3)
CVE-2023-32434 - Lỗ hổng tràn integer trong Kernel cho phép đối tượng tấn công thực thi mã từ xa với quyền kernel khi bị khai thác bởi ứng dụng độc hại (Đã được vá trong các phiên bản iOS 15.7.7, iOS 15.8, iOS 16.5.1)
CVE-2023-32435 - Lỗ hổng trên bộ nhớ của WebKit cho phép thực thi mã từ xa khi xử lý nội dung web độc hại (Đã được vá trong iOS 15.7.7 và iOS 16.5.1)
CVE-2023-38606 - Lỗ hổng trên kernel cho phép ứng dụng độc hại điều chỉnh trạng thái của kernel bị ảnh hưởng (Đã được vá trong iOS 16.6). Theo thống kê đã có 26,447 lỗ hổng an toàn thông tin được phát hiện trong năm 2023, nhiều hơn 1500 CVE so với năm ngoái, trong đó có 115 lỗ hổng đã bị khai thác bởi các đối tượng tấn công và các nhóm ransomware.
Đáng chú ý, Apple đã phát hành bản vá cho lỗ hổng CVE-2023-41990 vào tháng 01/2023. Tuy nhiên, thông tin về cách khai thác lỗ hổng chỉ được công bố vào ngày 08/09/2023, cùng ngày Apple phát hành bản vá iOS 16.6.1 để khắc phục hai lỗ hổng CVE-2023-41061 và CVE-2023-41064, đang bị khai thác bởi chiến dịch spyware Pegasus.
Trong năm vừa qua, chiến dịch này cũng đã góp phần khiến Apple xử lý lên đến 20 lỗ hổng zero-day. Trong bốn lỗ hổng được đề cập, CVE-2023-38606 nổi bật với khả năng cho phép tấn công bỏ qua lớp bảo mật phần cứng cho các vùng quan trọng của bộ nhớ kernel. Lỗ hổng này được khai thác bằng cách lợi dụng thanh ghi của memory-mapped I/O (MMIO), một chức năng ẩn trên phần cứng Apple.
Lỗ hổng chủ yếu tập trung vào việc khai thác các SoCs Apple A12-A16 Bionic, đặc biệt là các khối MMIO thuộc GPU. Lỗ hổng CVE-2023-38606 là một liên kết quan trọng trong chuỗi khai thác của chiến dịch Operation Triangulation vì nó cung cấp khả năng kiểm soát hoàn toàn hệ thống bị ảnh hưởng cho đối tượng tấn công.
Thông tin này được tiết lộ ngay sau khi Apple cảnh báo về việc các nhà báo và chính trị gia Ấn Độ bị tấn công trong một chiến dịch spyware vào cuối tháng 10/2023. Sự cố này khiến chính phủ Ấn Độ nghi ngờ về tính xác thực của thông báo này và coi đây như một trường hợp "lỗi thuật toán" trong hệ thống của Apple.
PV
