Đây được xem là một trong những chiến dịch khai thác iOS quy mô lớn và đáng chú ý nhất từng được ghi nhận.
Coruna hoạt động như thế nào?
Theo báo cáo được công bố trên Blog Google Cloud (và được Wired dẫn lại), Coruna sử dụng:
- 5 chuỗi khai thác iOS hoàn chỉnh
- 23 lỗ hổng bảo mật khác nhau
- Nhắm mục tiêu vào iPhone chạy từ iOS 13 đến iOS 17.2.1
Thay vì chỉ dựa vào một lỗ hổng đơn lẻ, Coruna hoạt động theo cách “bóc từng lớp bảo mật” của iOS. Quy trình tấn công diễn ra như sau:
- Người dùng truy cập vào một trang web độc hại.
- JavaScript ẩn sẽ:
- Kiểm tra kiểu máy iPhone
- Phiên bản iOS
- Các cài đặt bảo mật
- Tùy theo cấu hình thiết bị, hệ thống sẽ chọn chuỗi khai thác phù hợp.
- Nếu thành công, kẻ tấn công có thể:
- Giành quyền truy cập cấp cao (elevated privileges)
- Cài phần mềm độc hại
- Thu thập dữ liệu
- Tải thêm mô-đun gián điệp bổ sung
Lockdown Mode có tác dụng
Một chi tiết đáng chú ý: Coruna sẽ kiểm tra xem thiết bị có bật Lockdown Mode hay không.
Nếu:
- Thiết bị bật Lockdown Mode
- Hoặc người dùng đang duyệt web ở chế độ riêng tư
→ Bộ khai thác sẽ dừng quá trình tấn công.
Điều này cho thấy các cơ chế bảo vệ nâng cao trên iOS hiện đại thực sự có hiệu quả.
Quan trọng hơn, Google xác nhận Coruna không hiệu quả trên các phiên bản iOS mới nhất. Đây là lý do rõ ràng cho thấy việc cập nhật iOS thường xuyên là vô cùng cần thiết.
Nguồn gốc gây tranh cãi
Bên cạnh báo cáo của Google, iVerify cũng công bố phân tích riêng về Coruna.
Dựa trên phân tích ngược (reverse engineering), iVerify cho biết:
Coruna dường như được xây dựng trên cùng nền tảng với các công cụ hack nổi tiếng do chính phủ Mỹ phát triển.
Điều đáng lo ngại là:
- Bộ công cụ có thể đã bị rò rỉ
- Sau đó được sử dụng bởi:
Theo iVerify, đây là:
Vụ khai thác điện thoại di động quy mô lớn đầu tiên được ghi nhận do một nhóm tội phạm sử dụng công cụ có khả năng được xây dựng bởi một quốc gia.
Phương thức phát tán: Watering Hole Attack
Trong các chiến dịch được quan sát, Coruna được phân phối thông qua:
- Các cuộc tấn công watering hole
- Trang web hợp pháp bị xâm nhập
- Dịch vụ tiền điện tử giả mạo
Mục tiêu cuối cùng có vẻ mang động cơ tài chính. Các mô-đun độc hại được thiết kế để:
- Trích xuất dữ liệu ví tiền điện tử
- Đánh cắp cụm từ khôi phục (seed phrase)
- Thu thập thông tin nhạy cảm khác
Đối tượng bị nhắm đến
Các báo cáo năm ngoái cho thấy phần mềm gián điệp dạng này không chỉ nhắm vào:
- Nhà báo
- Nhà hoạt động
- Người bất đồng chính kiến
Mà còn mở rộng sang:
- Giám đốc điều hành công nghệ
- Lĩnh vực dịch vụ tài chính
- Chiến dịch chính trị
- Những cá nhân có quyền truy cập đặc quyền
Khi phạm vi mục tiêu mở rộng, nguy cơ rò rỉ và lạm dụng công cụ cũng tăng theo.
Bài học quan trọng: Luôn cập nhật iOS
Coruna là minh chứng rõ ràng rằng:
- iPhone không miễn nhiễm tuyệt đối
- Lỗ hổng bảo mật có thể tồn tại trong nhiều năm
- Các chuỗi khai thác phức tạp có thể vượt qua nhiều lớp bảo vệ
Nhưng tin tốt là:
✔ Bộ công cụ này không hiệu quả với iOS mới nhất
✔ Lockdown Mode có thể chặn quá trình khai thác
✔ Việc cập nhật phần mềm giúp loại bỏ phần lớn rủi ro
Nếu bạn vẫn đang sử dụng iOS 13–17.2.1, đây là lúc nên kiểm tra và cập nhật thiết bị ngay.
Nguồn:9to5mac.com
0 Nhận xét