Bởi (MobileWorld.vn) – Thông qua quá trình phân tích mã nguồn ở cấp độ chuyên sâu đối với các mã khai thác của Coruna, Đội ngũ Nghiên cứu và Phân tích Toàn cầu (GReAT) của Kaspersky xác định: bản tập hợp các mã khai thác này, thực chất là phiên bản cập nhật trực tiếp từ khung phần mềm được sử dụng ít nhất một phần trong chiến dịch gián điệp an ninh mạng từng “làm mưa làm gió” mang tên Operation Triangulation. Kaspersky nhận định mã khai thác mang tên Triangulation và Coruna nhắm vào các lỗ hổng bảo mật bên trong nhân của hệ điều hành (kernel exploit) nhiều khả năng được phát triển bởi cùng một tác giả.
Kết quả phân tích cho thấy một trong năm mã khai thác lỗ hổng bảo mật bên trong nhân hệ điều hành của bản tập hợp này chính là phiên bản cập nhật của mã khai thác mà Kaspersky đã phát hiện trong Chiến dịch Operation Triangulation vào năm 2023. Bốn bản còn lại, bao gồm cả hai bản được phát triển sau khi Chiến dịch Triangulation bị phanh phui, đều được xây dựng trên cùng một khung. Sự tương đồng không chỉ dừng lại ở các mã khai thác nhân mà còn thể hiện qua các thành phần khác của Coruna. Kết quả phân tích giúp Kaspersky khẳng đinh: bộ tập hợp mã khai thác này không phải chỉ bao gồm các mảnh ghép rời rạc, mà là một phiên bản tiến hóa được duy trì và nâng cấp liên tục từ khung gốc.
Mã khai thác này tương thích và có thể chạy trên các thiết bị sử dụng bộ vi xử lý A17, M3, M3 Pro và M3 Max của Apple, cũng như các phiên bản iOS cho đến 17.2 – mới chỉ được ra mắt vào mùa thu và mùa đông năm 2023. Đáng chú ý, mã này còn tích hợp một lệnh kiểm tra riêng biệt dành cho iOS 16.5 beta 4; đây chính là phiên bản mà Apple tung ra nhằm vá các lỗ hổng mà Kaspersky từng chỉ ra trong báo cáo trước đó.
Ông Boris Larin, chuyên gia nghiên cứu bảo mật cấp cao tại GReAT của Kaspersky, chia sẻ: “Ở thời điểm Coruna mới được công bố, các bằng chứng được công khai chưa đủ cơ sở để kết luận mã khai thác có liên quan đến Triangulation, bởi việc khai thác chung các lỗ hổng chưa đủ để chứng minh chúng được phát triển cùng một tác giả. Tuy nhiên, bức tranh đã thay đổi sau khi chúng tôi trực tiếp phân tích các tệp nhị phân. Coruna không phải là tập hợp đơn thuần các mã khai thác công khai; nó là phiên bản tiến hóa được duy trì và nâng cấp liên tục từ khung gốc của Chiến dịch Operation Triangulation. Việc xuất hiện các cơ chế nhận diện bộ vi xử lý đời mới như M3 hay các phiên bản iOS gần đây cho thấy những kẻ phát triển ban đầu đang ráo riết mở rộng kho mã khai thác nhằm duy trì mức độ tấn công. Từ một công cụ gián điệp tinh vi được thiết kế để tấn công chính xác các mục tiêu cụ thể, giờ đây Coruna được sử dụng để tấn công đại trà trên diện rộng.”
Kaspersky khuyến nghị người dùng iPhone cập nhật iOS lên phiên bản mới nhất ngay lập tức. Các lỗ hổng bị Coruna khai thác đã được Apple vá lỗi. Tuy nhiên, những thiết bị chưa cập nhật bản vá lỗi, vẫn đối mặt với nguy cơ bị tấn công.
Bản phân tích kỹ thuật chi tiết hiện đã được đăng trên Securelist.com.
Operation Triangulation là một chiến dịch tấn công có chủ đích (APT) quy mô lớn nhắm vào các thiết bị iOS, được công bố lần đầu vào tháng 6 năm 2023. Kaspersky đã phát giác chiến dịch này trong quá trình giám sát lưu lượng mạng Wi-Fi nội bộ của công ty, khi các tác nhân đe dọa nhắm mục tiêu tấn công vào thiết bị iOS của hàng chục nhân viên Kaspersky. Tại đây, các chuyên gia đã xác định được bốn lỗ hổng zero-day bị khai thác, gây ảnh hưởng đến hàng loạt sản phẩm của Apple.
