Kaspersky nhận định mã khai thác mang tên Triangulation và Coruna nhắm vào các lỗ hổng bảo mật bên trong nhân của hệ điều hành (kernel exploit) nhiều khả năng được phát triển bởi cùng một tác giả.
Những ý chính:
- Kaspersky đã xác định Coruna không phải là một tập hợp mã khai thác rời rạc mà là phiên bản tiến hóa trực tiếp từ khung phần mềm (framework) của chiến dịch gián điệp mạng Operation Triangulation (2023).
- Coruna đã được nâng cấp để tương thích với các phần cứng mới nhất của Apple như chip A17 và dòng M3, đồng thời có khả năng vượt qua các bản vá lỗi trước đó trên iOS.
- Trước mối đe dọa này, Kaspersky khuyến nghị người dùng cá nhân cần cập nhật iOS lên phiên bản mới nhất ngay lập tức để vá các lỗ hổng đã được Apple xử lý.
Thông qua quá trình phân tích mã nguồn ở cấp độ chuyên sâu đối với các mã khai thác của Coruna, Đội ngũ Nghiên cứu và Phân tích Toàn cầu (GReAT) của Kaspersky xác định: bản tập hợp các mã khai thác này, thực chất là phiên bản cập nhật trực tiếp từ khung phần mềm được sử dụng ít nhất một phần trong chiến dịch gián điệp an ninh mạng từng “làm mưa làm gió” mang tên Operation Triangulation.
Kết quả phân tích cho thấy một trong năm mã khai thác lỗ hổng bảo mật bên trong nhân hệ điều hành của bản tập hợp này chính là phiên bản cập nhật của mã khai thác mà Kaspersky đã phát hiện trong Chiến dịch Operation Triangulation vào năm 2023. Bốn bản còn lại, bao gồm cả hai bản được phát triển sau khi Chiến dịch Triangulation bị phanh phui, đều được xây dựng trên cùng một khung.
Sự tương đồng không chỉ dừng lại ở các mã khai thác nhân mà còn thể hiện qua các thành phần khác của Coruna. Kết quả phân tích giúp Kaspersky khẳng đinh: bộ tập hợp mã khai thác này không phải chỉ bao gồm các mảnh ghép rời rạc, mà là một phiên bản tiến hóa được duy trì và nâng cấp liên tục từ khung gốc.
Mã khai thác này tương thích và có thể chạy trên các thiết bị sử dụng bộ vi xử lý A17, M3, M3 Pro và M3 Max của Apple, cũng như các phiên bản iOS cho đến 17.2 – mới chỉ được ra mắt vào mùa thu và mùa đông năm 2023. Đáng chú ý, mã này còn tích hợp một lệnh kiểm tra riêng biệt dành cho iOS 16.5 beta 4; đây chính là phiên bản mà Apple tung ra nhằm vá các lỗ hổng mà Kaspersky từng chỉ ra trong báo cáo trước đó.
Ông Boris Larin, chuyên gia nghiên cứu bảo mật cấp cao tại GReAT của Kaspersky, chia sẻ: “Ở thời điểm Coruna mới được công bố, các bằng chứng được công khai chưa đủ cơ sở để kết luận mã khai thác có liên quan đến Triangulation, bởi việc khai thác chung các lỗ hổng chưa đủ để chứng minh chúng được phát triển cùng một tác giả.
Tuy nhiên, bức tranh đã thay đổi sau khi chúng tôi trực tiếp phân tích các tệp nhị phân. Coruna không phải là tập hợp đơn thuần các mã khai thác công khai; nó là phiên bản tiến hóa được duy trì và nâng cấp liên tục từ khung gốc của Chiến dịch Operation Triangulation.
Việc xuất hiện các cơ chế nhận diện bộ vi xử lý đời mới như M3 hay các phiên bản iOS gần đây cho thấy những kẻ phát triển ban đầu đang ráo riết mở rộng kho mã khai thác nhằm duy trì mức độ tấn công.Từ một công cụ gián điệp tinh vi được thiết kế để tấn công chính xác các mục tiêu cụ thể, giờ đây Coruna được sử dụng để tấn công đại trà trên diện rộng.”
Kaspersky khuyến nghị người dùng iPhone cập nhật iOS lên phiên bản mới nhất ngay lập tức. Các lỗ hổng bị Coruna khai thác đã được Apple vá lỗi. Tuy nhiên, những thiết bị chưa cập nhật bản vá lỗi, vẫn đối mặt với nguy cơ bị tấn công.
Operation Triangulation là một chiến dịch tấn công có chủ đích (APT) quy mô lớn nhắm vào các thiết bị iOS, được công bố lần đầu vào tháng 6 năm 2023. Kaspersky đã phát giác chiến dịch này trong quá trình giám sát lưu lượng mạng Wi-Fi nội bộ của công ty, khi các tác nhân đe dọa nhắm mục tiêu tấn công vào thiết bị iOS của hàng chục nhân viên Kaspersky. Tại đây, các chuyên gia đã xác định được bốn lỗ hổng zero-day bị khai thác, gây ảnh hưởng đến hàng loạt sản phẩm của Apple.
Để không trở thành nạn nhân của các cuộc tấn công có chủ đích từ các tác nhân đe dọa (dù người dùng đã biết hay chưa), các chuyên gia Kaspersky khuyến nghị triển khai các biện pháp sau:
- Thiết lập hệ thống giám sát tập trung trên toàn bộ hạ tầng bằng Kaspersky SIEM. Giải pháp này giúp bao quát toàn diện các sự kiện an ninh và tối ưu hóa hiệu suất vận hành hệ thống bảo mật của doanh nghiệp.
- Cập nhật định kỳ hệ điều hành, ứng dụng và phần mềm bảo mật để kịp thời vá các lỗ hổng đã được công bố.
- Trao cho đội ngũ an ninh mạng quyền giám sát chuyên sâu đối với các mối đe dọa nhắm vào tổ chức. Kaspersky Threat Intelligence phiên bản mới nhất cung cấp các thông tin theo ngữ cảnh giá trị trong suốt chu kỳ quản lý sự cố, giúp đội ngũ phản ứng nhanh chóng nhận diện rủi ro.
- Nâng cấp kỹ năng chuyên môn cho đội ngũ an ninh để đối phó với các cuộc tấn công có chủ đích mới nhất thông qua các khóa đào tạo thực chiến Kaspersky Cybersecurity Training.
- Để củng cố hàng rào bảo vệ điểm cuối và năng lực ứng phó sự cố, hãy sử dụng các giải pháp thuộc dòng sản phẩm Kaspersky Next. Với sức mạnh từ các tính năng EDR trọng yếu, quản lý bản vá và bảo mật đám mây, các giải pháp này giúp doanh nghiệp có cái nhìn trực diện về mối đe dọa, từ đó thực hiện điều tra và vô hiệu hóa các cuộc tấn công lẩn khuất mà vẫn tiết kiệm tối đa nguồn lực.
