Tổ chức bí mật của Israel đang bán phần mềm hack iPhone từ xa cho chính phủ các nước

Ngày nay, hầu như mọi chính phủ đều đang tích cực phát triển các hệ thống giám sát qua mạng với những phần mềm và công nghệ tình báo tối tân. Nhiều quốc gia nhỏ thậm chí còn gia nhập các khối liên minh tình báo để chia sẻ nguồn lực công nghệ. Thế nhưng có những quốc gia, vì nhiều lý do, vẫn thích sử dụng các công cụ gián điệp họ có thể nắm toàn quyền điều khiển. Nhu cầu này đã khiến nhiều chính phủ sẵn lòng bỏ tiền ra mua đứt các phần mềm tình báo từ các công ty tư nhân.

Thứ năm vừa qua, các nhà nghiên cứu của Viện Citizen Lab trực thuộc ĐH Toronto và hãng an ninh mạng Lookout đã vạch trần hoạt động gián điệp qua spyware của một công ty bí ẩn mang tên NSO Group. Với hầu hết khách hàng là chính phủ các nước, NSO Group đã và đang bán Pegasus, một sản phẩm spyware tinh xảo có thể chạy nền khai thác 3 lỗ hổng bảo mật trên hệ điều hành iOS. Một khi đã xâm nhập được vào điện thoại của nạn nhân, Pegasus có thể truy quét và trích xuất hầu như tất cả các loại dữ liệu như cuộc gọi, tin nhắn, email, lịch, danh bạ, file âm thanh và video, lịch sử duyệt web hay thậm chí cả những lần gõ phím. Những lỗ hổng bảo mật này được gọi chung là Trident. May mắn là Apple đã kịp thời tung ra phiên bản iOS 9.3.5 vá hết chúng.

Mike Murray, phó chủ tịch hãng an ninh mang Lookout cho biết: “Đây là lần đầu tiên chúng tôi được tiếp xúc với bản copy một phần mềm spyware của NSO Group và tìm ra cách chế ngự nó. Pegasus thực sự là một mối đe dọa khủng khiếp với bất kỳ nạn nhân nào.”

Citizen Lab tình cờ khám phá ra Trident từ nhà hoạt động nhân quyền Ả Rập nổi tiếng Ahmed Mansoor. Sau khi nhận được mẩu tin nhắn khả nghi chứa đường link được cho là chứa những chứng cứ quan trọng ghi lại cảnh tù nhân bị bạo hành trong nhà tù của các Tiểu vương quốc Ả Rập thống nhất (UAE), Mansoor đã cẩn trọng gửi nó cho Citizen Lab xem xét.

Citizen Lab từng làm việc với Mansoor từ khi điện thoại của ông nhiễm malware gián điệp vào năm 2011 và 2012.

Mansoor cho biết: “Với tư cách là một nhà hoạt động nhân quyền tại một quốc gia luôn coi nhân quyền là mối đe dọa, tôi luôn phải thận trọng hơn bất cứ ai. Giờ thì chẳng còn gì có thể khiến tôi kinh ngạc được nữa.”

Mansoor đã nhận được 2 tin nhắn giả mạo vào ngày 10 và 11 tháng 8 vừa qua. Chiếc iPhone của ông đang chạy hệ điều hành iOS mới nhất. Cả hai tin nhắn đều viết: “Bí mật mới về những màn tra tấn trong các nhà tù của UAE” rồi đưa một đường link dẫn xem chi tiết. Những nội dung như thế này luôn khiến Mansoor phải cảnh giác.

Ông đã gửi ảnh chụp màn hình cùng đoạn tin nhắn và đường link đến Citizen Lab, nơi các chuyên gia hàng đầu như Bill Marczak và John Scott-Railton sử dụng một chiếc iPhone 5 cũ chạy iOS 9.3.3 như trên máy Mansoor để truy cập đường link. Tất cả những gì họ chứng kiến là trình duyệt Safari mở ra một trang trống (blank page) rồi phụt tắt ngay 10 giây sau đó.

Sau khi kiểm tra dữ liệu chiếc điện thoại đã gửi và nhận qua Internet cùng server mà nó đang kết nối, các nhà nghiên cứu bắt đầu tìm ra cách thức Pegasus tấn công và hoạt động cũng như truy được nguồn gốc của nó. Một số nghiên cứu trước đây cũng giúp họ tìm hiểu thêm về phương thức tấn công mạng thường được sử dụng với các nhà bất đồng chính kiến tại UAE. Họ cũng liên hệ hãng an ninh mạng Lookout để phân tích thêm các yếu tố kỹ thuật.

Mấu chốt của vụ tấn công này chính là việc Pegasus lợi dụng lỗ hổng bảo mật trong WebKit của trình duyệt Safari. Hoạt động này diễn ra trong vòng 10 giây. Pegasus sẽ lợi dụng lỗi bảo mật trong các lớp bảo vệ kernel (chương trình lõi giúp kiểm soát tất cả các hệ thống trong một hệ điều hành) để truy cập vào kernel và jailbreak chiếc điện thoại từ xa.

Việc jailbreak iPhone cho phép kẻ tấn công thâm nhập sâu vào hệ thống của chiếc máy và thực hiện bất cứ thay đổi nào tùy thích trên thiết bị. Người dùng iPhone đôi khi cũng tự jailbreak máy mình để tùy chọn các trải nghiệm ngoài mặc định của Apple. Thế nhưng lần này, jailbreak được sử dụng để một bên khác chiếm quyền truy cập vào nội dung và các hoạt động trên thiết bị nhiễm spyware.

Chuyên gia an ninh mạng Jon Clay cho biết việc lợi dụng nhiều lỗ hổng bảo mật cùng lúc để tấn công đã phổ biến trên hầu hết các nền tảng, nhưng chính vì trước nay có rất ít vụ việc như vậy xảy ra trên iOS nên cuộc tấn công này trở nên khá đặc biệt. Đáng chú ý là một nhóm hacker cũng từng khẳng định kiếm được 1 triệu USD tiền thưởng từ startup bảo mật Zerodium cho việc jailbreak thành công thiết bị iOS từ xa vào năm ngoái.

Sau khi Citizen Lab và Lookout đưa những gì họ tìm được cho Apple, công ty đã vá lại các lỗ hổng trong phiên bản iOS mới nhất. Việc khắc phục nhanh các sự cố ngay trong phiên bản mới trên tất cả các thiết bị chính là một điểm cộng đặc thù của iOS. Trong khi đó, các nhà nghiên cứu tại Citizen Lab và Lookout cũng đang tìm kiếm chứng cứ chứng minh NSO Group đang sử dụng Pegasus trên cả các hệ điều hành khác, đặc biệt là Android. Thêm vào đó, mặc dù việc các thâm nhập các lỗ hổng Trident đã bị khống chế nhưng NSO Group rất có thể còn nhiều chiến lược khác để đưa Pegasus lên các thiết bị iOS.

Tiết lộ về việc lỗ hổng “zero-day” trên iOS từng được rao bán càng khiến Apple dành được lợi thế trong tranh chấp về việc các cơ quan an ninh như FBI không nên ép buộc họ phải mở đường truy cập vào các thiết bị do chính họ tạo ra. Các rủi ro bảo mật đã tồn tại rồi, tạo thêm những rủi ro mới chỉ khiến tình hình thêm tồi tệ.

Đến nay, các thông tin thu thập được về công ty Israel bí ẩn NSO Group vẫn hết sức hạn chế. Trên LinkedIn, NSO Group chỉ mô tả mình là một hãng bảo mật được thành lập từ 2010 với lượng nhân viên rơi vào khoảng 201 đến 500. Công ty tuyệt nhiên không có website hay cập nhật bất cứ thông tin nào khác. Khách hàng của NSO Group bao gồm cả chính phủ Mexico, được cho là từng sử dụng dịch vụ vào năm 2014 và hiện vẫn đang là một khách hàng quen thuộc. Mùa thu năm ngoái, Bloomberg ước tính doanh thu hàng năm của NSO rơi vào khoảng 75 triệu USD, phần lớn có được từ các phần mềm spyware khai thác lỗ hổng bảo mật.

Nhà nghiên cứu John Scott-Railton của Citizen Lab cho biết: “Một điều đáng chú ý ở NSO Group là công ty này chuyên bán các phần mềm spyware riêng cho các chính phủ. Chính vì vậy mà ngay lúc phát hiện ra nó, rất có thể bạn đang nhìn thẳng mặt một chuyên viên chính phủ nào đó rồi.”

Ngay khi những lỗ hổng hiện tại được vá lại, những lỗ hổng mới trong tương lai chẳng chóng thì chày cũng sẽ xảy ra, đặc biệt là với công nghệ tiên tiến của NSO. Murray của Lookout cho biết: “Hiện đã có những bằng chứng cho thấy NSO thậm chí còn có cả một đội ngũ quản lý chất lượng riêng trong nội bộ. Những dấu tích để lại cho thấy Pegasus xứng tầm là một phần mềm doanh nghiệp chuyên dụng. NSO chắc chắn phải có những bộ phận phát triển không thua gì những hãng phần mềm doanh nghiệp lớn hiện nay.”

Trước khi những phiên bản Pegasus mới được tung ra, chắc chắn nhiều chính phủ cũng đang rất háo hức chờ đợi đặt mua.

Tham khảo Wired