Mã độc tấn công dữ liệu của iPhone |
Để theo dõi nạn nhân của mình, phần mềm Pegasus sử dụng một jailbreak và lây nhiễm thiết bị đầu cuối qua ba lỗ hổng zero-day. Nó cho phép chặn bất kì loại thông tin liên lạc nào.
Theo tiết lộ bởi các nhà nghiên cứu an ninh mạng của CitizenLab và Lookout, nhà nhân quyền Ahmed Mansoor là nạn nhân của phần mềm gián điệp rất tinh vi được NSO Group (Israel) tạo ra. Phần mềm này đã tấn công đã iPhone 6 của ông Mansoor dưới dạng tin nhắn văn bản cùng với một liên kết, có thể được kết nối với NSO Group theo CitizenLab. Mansoor đã cảnh giác khi chuyển ngay đường link này đến CitizenLab, đường link được mở trên iPhone 5s. Phần mềm độc hại được cài đặt ngay lập tức cho phép các nhà nghiên cứu an ninh mạng bắt đầu công việc phân tích của họ.
Để lây nhiễm iPhone, phần mềm độc hại sử dụng ba lỗ hổng zero-day khai thác một cách liên tục. Trên thị trường chợ đen, loại lỗi này đang được giao dịch với giá vài trăm ngàn hoặc thậm chí đến hơn một triệu euro. Lỗ hổng đầu tiên (CVE-2016-4657) được đặt trong thư viện WebKit được Safari sử dụng. Nó cho phép, bằng cách tải về một trang web, chạy mã ẩn trên iPhone. Trong trường hợp này, nó cho phép chạy jailbreak của iPhone : lỗ hổng zero-day đầu tiên (CVE-2016-4655) được sử dụng để xác định vị trí các khu vực bộ nhớ hạt nhân và lỗ hổng thứ hai (CVE-2016-4656) để thay đổi chúng. Điều này cho phép xóa trong hệ điều hành các lớp bảo vệ ứng dụng khác nhau. Quá trình gián điệp kết thúc với việc tải về và cài đặt của Pegasus.
Theo các nhà nghiên cứu của Lookout, phần mềm gián điệp này được tạo ra rất toàn diện và được lập trình rất bài bản. Bản sao của nó mà họ tìm thấy cho phép lấy các dữ liệu thông số mạng, lịch, sổ địa chỉ và mật khẩu Keychain. Nó cũng cho phép chặn các văn bản thông tin liên lạc, âm thanh hoặc video của mười lăm ứng dụng cho nhắn tin và mạng xã hội : Gmail, Viber, Facebook, WhatsApp, Telegram, Skype, Line, WeChat, VK... Phần mềm này cũng có thể ghi âm và quay phim nạn nhân trong một khoảng thời gian xác định. Tất cả hoạt động của nó diễn ra trên nền màn hình, không có bất cứ điều gì xuất hiện trên màn hình. Một số trao đổi với máy chủ ra lệnh và kiểm soát được ẩn trong các tin nhắn SMS xác thực sai. Các phần khác của mã vẫn đang được các nhà nghiên cứu của Lookout tiếp tục phân tích.
Theo các dữ liệu bị rò rỉ tháng 7 năm ngoái, CitizenLab cũng có thể có trong tay các trang tài liệu liên quan đến Pegasus. Các tài liệu này chỉ ra rằng hệ thống Pegasus dựa trên ba thành phần chính : một trạm điều khiển, máy chủ lây nhiễm và cơ sở hạ tầng điện toán đám mây. Cuộc tấn công bắt đầu từ trạm điều khiển với việc gửi tin nhắn SMS bẫy người dùng. Đường link sẽ chuyển đến một trong các máy chủ web của điện toán đám mây. Máy chủ web chuyển hướng nạn nhân đến máy chủ lây bệnh, máy chủ này sẽ thực hiện cuộc tấn công.
Nếu cuộc tấn công thành công, hệ thống có thể truy cập vào dữ liệu của iPhone từ trạm của chúng, với giao diện đồ họa khá dễ chịu./.