1 điểm bởi GN⁺ 2024-04-12 | 1 bình luận | Chia sẻ qua WhatsApp
  • Mối đe dọa spyware thuê ngoài nhắm vào các cá nhân có nguy cơ cao lại được xác nhận, Apple thông báo cho người dùng iPhone tại 92 quốc gia về khả năng bị tấn công có chủ đích
  • Thông báo lần này cho biết Apple đã phát hiện nỗ lực xâm nhập từ xa vào iPhone liên kết với Apple ID, nhưng không công bố danh tính kẻ tấn công hay các quốc gia bị nhắm tới
  • Apple nói rằng không thể chắc chắn tuyệt đối trong việc phát hiện, nhưng nhấn mạnh cảnh báo lần này có độ tin cậy cao và người dùng nên xem xét một cách nghiêm túc
  • Kể từ năm 2021, Apple đã gửi các thông báo tương tự cho người dùng tại hơn 150 quốc gia; tháng 10 năm ngoái, hãng cũng gửi cảnh báo cùng loại tới các nhà báo và chính trị gia ở Ấn Độ
  • Apple thay cách gọi cũ “state-sponsored” bằng “mercenary spyware attacks”, phân biệt rằng các cuộc tấn công như Pegasus tinh vi và hiếm gặp hơn rất nhiều so với mã độc thông thường

Thông báo đe dọa được gửi tới người dùng iPhone ở 92 quốc gia

  • Apple đã gửi thông báo đe dọa cho người dùng cá nhân tại 92 quốc gia vào trưa thứ Tư (giờ Thái Bình Dương)
  • Thông báo cảnh báo rằng iPhone liên kết với Apple ID có thể bị xâm nhập từ xa bởi một cuộc tấn công spyware thuê ngoài
  • Trong thông báo mà TechCrunch xác nhận, danh tính kẻ tấn công hoặc quốc gia nơi người dùng nhận được cảnh báo không được công bố
  • Nội dung chính được gửi tới người dùng như sau
    • Cuộc tấn công có thể đã nhắm đích danh họ vì họ là ai hoặc vì công việc họ làm
    • Với các cuộc tấn công như vậy, rất khó bảo đảm chắc chắn tuyệt đối trong quá trình phát hiện
    • Apple đặt độ tin cậy cao vào cảnh báo này, và người dùng nên xem xét nghiêm túc
  • Apple cho biết không thể cung cấp thêm chi tiết về lý do gửi thông báo, vì kẻ tấn công có thể thay đổi phương thức để né tránh việc bị phát hiện trong tương lai

Các thông báo lặp lại và thay đổi thuật ngữ

  • Apple cho biết trên trang hỗ trợ rằng hãng gửi loại thông báo này nhiều lần mỗi năm, và kể từ năm 2021 đã thông báo các mối đe dọa tương tự cho người dùng tại hơn 150 quốc gia
  • Tháng 10 năm ngoái, cảnh báo tương tự cũng được gửi tới nhiều nhà báo và chính trị gia ở Ấn Độ
    • Sau đó, Amnesty International báo cáo rằng họ đã phát hiện spyware xâm nhập Pegasus của công ty spyware Israel NSO Group trên iPhone của các nhà báo lớn ở Ấn Độ
    • Những người am hiểu sự việc cho biết trong số người dùng nhận được thông báo đe dọa mới nhất cũng có người dùng ở Ấn Độ
  • Thông báo lần này được gửi tới vào thời điểm nhiều quốc gia đang chuẩn bị bầu cử
    • Gần đây, nhiều công ty công nghệ đã cảnh báo về sự gia tăng các hoạt động được nhà nước hậu thuẫn nhằm tác động đến kết quả bầu cử cụ thể
    • Bản thân thông báo của Apple không đề cập đến thời điểm gửi
  • Trước đây Apple gọi các kẻ tấn công là “state-sponsored”, nhưng hiện đã thay thế toàn bộ các cách diễn đạt liên quan bằng “mercenary spyware attacks
  • Các cuộc tấn công spyware thuê ngoài như Pegasus được phân loại là dạng tinh vi hơn rất nhiều và đặc biệt hiếm gặp so với tội phạm mạng thông thường hoặc mã độc dành cho người tiêu dùng
  • Apple cho biết họ chỉ sử dụng thông tin tình báo mối đe dọa nội bộ và điều tra để phát hiện các cuộc tấn công kiểu này
  • Tài liệu liên quan: Công cụ kiểm tra điện thoại có bị spyware Pegasus của NSO nhắm tới hay không

1 bình luận

 
GN⁺ 2024-04-12
Ý kiến trên Hacker News
  • Có một thread Reddit do một người nhận được cảnh báo kiểu này đăng lên: https://old.reddit.com/r/iphone/comments/1c10jai/i_have_rece...
    Điều thú vị là người này khẳng định mình chỉ là một sinh viên đại học bình thường; nếu thật sự là kiểu điệp viên bí mật thì chắc đã không lên Reddit hỏi, nên nghe cũng có vẻ hợp lý
    Tôi tò mò không biết hacker chọn mục tiêu theo tiêu chí như số điện thoại hay không. Cũng có thể hình dung là sinh viên này gần đây nhận số mới, và số đó trước đây từng liên quan đến mục tiêu. Dù vậy, tôi nghĩ phải có cách loại bỏ những số đã được biết là mục tiêu

    • Có vẻ có sự hiểu nhầm về việc đâu là mục tiêu có giá trị hoặc lý tưởng đối với kẻ tấn công được nhà nước hậu thuẫn hay kẻ tấn công kiểu lính đánh thuê. Chỉ cần làm việc ở phòng thí nghiệm, nhà sản xuất công nghiệp, nhà máy điện, công ty công nghệ, hoặc quen biết một giáo sư nào đó cũng có thể đủ để bị đưa vào danh sách mục tiêu
    • Người đó có thể chỉ là sinh viên, nhưng cũng có thể có quan hệ nào đó với mục tiêu thật sự. Nếu đây là một phần của chiến dịch phức tạp, họ có thể đang thử tiếp cận gián tiếp
    • Mọi người chỉ nghĩ đến bí mật học thuật, nhưng cũng cần xem người đó có tham gia hoạt động xã hội/hoạt động vận động dưới hình thức nào không
      Nếu có thể chiếm quyền kiểm soát một nhà hoạt động để phá vỡ lòng tin thì đó là năng lực rất lớn. Tôi cũng sẽ chẳng ngạc nhiên chút nào nếu backdoor trong xz compression là một nỗ lực của một chính phủ nào đó nhằm có được khả năng hạ bệ hoặc bôi nhọ bất kỳ ai chống lại họ
    • Người đó đã từng bị nhắm mục tiêu từ mùa hè năm ngoái. Rất có khả năng họ không phải là người kém thú vị như họ tin hoặc tuyên bố
    • Cũng có thể là người thân hoặc người quen của mục tiêu. Tôi từng làm khá nhiều tình báo nguồn mở (OSINT) như một sở thích, và khi tìm mục tiêu, đôi khi cách tiếp cận là tam giác hóa hoặc pivot qua một đối tượng hơi lệch khỏi trung tâm
  • Nhìn vào Metaverse, spyware kiểu lính đánh thuê, chỉ định mục tiêu trong chiến tranh bằng AI, rồi drone sát thương, tôi cứ tự hỏi ai đã đọc Neuromancer rồi nghĩ: “Đúng là một viễn cảnh tương lai màu hồng! Làm sao để hiện thực hóa tầm nhìn tương lai tuyệt vời này nhỉ?”

    • Nhà văn khoa học viễn tưởng: Tôi đã phát minh ra Torment Nexus trong sách của mình như một câu chuyện cảnh báo
      Công ty công nghệ: Cuối cùng chúng tôi đã tạo ra Torment Nexus trong tiểu thuyết SF kinh điển “Đừng tạo ra Torment Nexus”
      https://twitter.com/AlexBlechman/status/1457842724128833538
    • Những người đọc Neuromancer rồi nghĩ như vậy có lẽ cũng là những người đọc 1984 rồi nghĩ y hệt
      Hoặc có thể là những người chưa đọc 1984 nên không hiểu lời cảnh báo đó
    • Những người nói “đừng lo chuyện làm cho đúng, cứ làm thật nhanh trước đã, sau này sửa” đã tạo ra tương lai như vậy
      Và cuối cùng nó đã không được sửa. Có vẻ chúng ta cứ tiếp tục thúc nhanh hơn, rẻ hơn. Nếu cứ tiếp tục giảm trọng lượng, chẳng bao lâu nữa sẽ phải cắt tay chân. Nếu những quan chức hay quản lý giỏi trước đó đã cắt hết phần mỡ rồi, người tiếp theo sẽ chẳng còn bao nhiêu mỡ để cắt. Hơn nữa, một lượng mỡ nhất định thực ra là tốt
    • Không có gì phải lo. Thực tại và thời gian sẽ tìm ra cách làm cho thực tế tệ hơn những gì các tiểu thuyết gia quá khứ từng có thể tưởng tượng. Đến giờ ngay cả Brave New World cũng trông có vẻ ngây thơ
    • Sẽ không bao giờ thiếu những người đọc một tác phẩm phản địa đàng rồi nghĩ: “Thật kinh khủng. Với tư cách thần vương chính đáng và ngay thẳng, mình nên đàn áp cả thế giới để mọi thứ vận hành tốt theo đúng sai mà góc nhìn cực kỳ hẹp của mình hiểu được”
      Ở đây cũng có rất nhiều người tin rằng “công nghệ vì công nghệ” là điều tốt, hoặc bất kỳ công nghệ nào về bản chất cũng là tiến bộ của xã hội, và tiến bộ === tốt
  • Nếu nhận được một thông báo kiểu “Apple đã phát hiện iPhone liên kết với Apple ID -xxx- của bạn đang là mục tiêu của một cuộc tấn công spyware kiểu lính đánh thuê nhằm xâm nhập từ xa”, tôi chắc sẽ nghĩ đó là một phần của trò lừa đảo phishing
    Làm sao biết được thứ này là thật? Nếu nó trông khác với những thông báo thường nhận thì càng dễ nghĩ là giả
    Sau này mới thấy như bình luận bên dưới nói, có thể xác minh bằng cách đăng nhập vào appleid.apple.com. Như vậy thì đáng tin

    • Theo website của Apple, để xác minh thông báo đe dọa của Apple có thật hay không, hãy đăng nhập vào appleid.apple.com. Nếu Apple đã gửi thông báo đe dọa, nó sẽ được hiển thị rõ ở đầu trang sau khi đăng nhập
      https://support.apple.com/en-lamr/102174
    • Nếu không có liên kết để bấm và không thúc ép đăng nhập vào đâu đó, thì nghe giống như chỉ truyền đạt thông tin
      Nếu ngân hàng liên hệ về gian lận thẻ tín dụng mà có một nút lớn kiểu “bấm vào đây để đăng nhập”, tôi sẽ rất nghi ngờ. Ngược lại, nếu chỉ có thông tin và kết thúc bằng kiểu “để biết thêm chi tiết, hãy liên hệ chi nhánh gần nhất”, không có liên kết hay số điện thoại, thì ít đáng ngờ hơn
    • Nếu một vụ phishing đã thành công trong việc hiển thị thông báo như vậy trên điện thoại bằng cách nào đó, thì điện thoại đó nhiều khả năng đã bị hack rồi và không còn đáng tin nữa
    • Ở cuối có nói rằng có thể xác minh tính hợp lệ bằng cách đăng nhập vào iCloud, và ở đó sẽ hiển thị banner thông báo
    • Tôi nghe nói nó hiển thị dưới dạng huy hiệu hoặc banner ở đầu bảng điều khiển web iCloud trong trình duyệt. Có vẻ nó cũng hiện ở phía trên thông báo đã nhận
  • Tôi không hiểu vì sao Pegasus và NSO vẫn được phép tồn tại. Tôi biết đó là công ty Israel, nhưng dù vậy chính phủ Israel đã từng có động thái gì với họ chưa? Đây thực chất là hành vi kiểu quốc gia bất hảo

    • PBS Frontline có một phim tài liệu hay về NSO Group. Họ được chính phủ phê duyệt, thậm chí còn được dùng làm đòn bẩy chính trị: https://m.youtube.com/watch?v=6ZVj1_SE4Mo
    • Lý do Pegasus và NSO vẫn được cho phép là vì những bên có quyền cấm họ lại chính là khách hàng lớn nhất
    • Có rất nhiều công ty như vậy, chỉ là chưa bị biết đến. Tôi không nghĩ tình hình này liên quan nhiều đến Israel
    • Ý bạn là giả định chính phủ Israel không chấp thuận những việc họ làm?
  • Người dùng Android có khả năng đang ở tình trạng nghiêm trọng hơn nhiều, chỉ là Google không công khai mà thôi
    Nhìn sự việc lần này, tôi đang nghiêm túc cân nhắc chuyển sang Apple. Không phải vì Apple an toàn, mà vì họ có ý chí thông báo cho người dùng đến mức này

    • Trớ trêu là điều đó có thể còn tệ hơn. iMessage nhiều khả năng là bước then chốt trong hơn 60% các khai thác kiểu này, và nhiều engine render Unicode/PDF khác nhau cũng là nguyên nhân của nhiều cuộc tấn công
      Tính chất mã nguồn mở của Android làm tăng khả năng những thứ này được các nhà nghiên cứu bảo mật phát hiện trước. Cũng đừng quên rằng Zerodium vẫn trả nhiều tiền hơn cho Android 0-day so với iOS 0-day
      Hơn nữa, khác biệt thiết bị giữa Samsung, Google, Moto, Huawei, v.v. rất lớn, nên để một khai thác đơn lẻ thành công còn khó hơn gấp ba lần
    • Nếu đọc giữa các dòng, có vẻ Apple có khả năng tái hiện nguyên nhân gốc rễ trên mọi thiết bị Apple sau khi bị nhiễm, chỉ là họ có thể không nói công khai
      Nghĩa là nếu ca nhiễm cuối cùng được phát hiện, Apple có thể tách riêng điểm xâm nhập của lỗ hổng, rồi quét lại tất cả thiết bị để phát hiện những thiết bị có khả năng đã là mục tiêu của cùng một cuộc tấn công
      Ở góc độ tập thể, việc hash dữ liệu có thể đóng vai trò như dấu vân tay là hợp lý. Cực đoan hơn, thậm chí có thể là thứ đơn giản như call stack sau khi nhận iMessage
    • Cần có căn cứ cho câu “Người dùng Android có khả năng đang ở tình trạng nghiêm trọng hơn nhiều”
    • Google đã làm việc kiểu này từ lâu rồi. Khoảng năm 2010 tôi từng nhận một email như vậy
    • Nói chung người dùng Android có tệ hơn nhiều không thì có thể. Nhưng Google Pixel ngày nay tương đương Apple về mặt bảo mật, và cũng có người cho rằng còn an toàn hơn. Như những người khác đã nói, trước đây Google cũng từng gửi thông báo tương tự
      Ngoài ra, tôi không cho rằng Google có trách nhiệm giám sát và thông báo cho cả điện thoại của các nhà sản xuất khác như Samsung, Motorola
  • “Các cuộc tấn công spyware kiểu lính đánh thuê, như những cuộc có vẻ dùng Pegasus của NSO Group, là cực kỳ hiếm và tinh vi hơn nhiều so với tội phạm mạng thông thường hay malware dành cho người tiêu dùng”
    Nếu vậy, bản thân việc kích hoạt cảnh báo của Apple cho mục tiêu cũng có thể là một phần của chiến dịch tinh vi
    Những mục tiêu như vậy sẽ phản ứng, hoặc buộc phải phản ứng, theo một cách nhất định. Tức là dụ người đang ẩn nấp lộ diện và khiến họ phản ứng chỉ bằng cách quan sát hành vi
    Sau đó các mục tiêu ấy sẽ làm gì? Đổi điện thoại? Truy cập một dịch vụ số cụ thể? Cảnh báo mạng lưới của họ qua các kênh liên lạc thông thường? Từ góc nhìn của người quan sát thì khá gay cấn

    • Apple có khuyến nghị trên website về nơi liên hệ để được hướng dẫn, và tất nhiên Apple không phải nơi duy nhất đưa ra lời khuyên kiểu này
      Apple: “Nếu bạn nhận được thông báo mối đe dọa của Apple, chúng tôi đặc biệt khuyến nghị bạn tìm đến sự hỗ trợ chuyên gia, chẳng hạn hỗ trợ bảo mật khẩn cấp phản ứng nhanh do Digital Security Helpline phi lợi nhuận của Access Now cung cấp. Người nhận thông báo mối đe dọa của Apple có thể liên hệ với Digital Security Helpline 24/7 quanh năm qua website. Các tổ chức bên ngoài không có thông tin về nguyên nhân khiến Apple gửi thông báo mối đe dọa, nhưng có thể giúp đưa ra lời khuyên bảo mật phù hợp cho người dùng bị nhắm mục tiêu.”
      https://support.apple.com/en-lamr/102174
      Amnesty International: “Access Now Helpline và các đối tác xã hội dân sự khác của Security Lab cũng sẵn sàng hỗ trợ những cá nhân đã nhận thông báo của Apple.”
      https://securitylab.amnesty.org/latest/2024/04/apple-threat-...
    • Có đổi điện thoại không à? Nếu một chiếc Motorola 130 USD có thể cung cấp bảo mật tốt hơn thì tôi nghĩ là có
      Sau khi FBI bẻ được iPhone vào năm 2018, tôi vẫn thấy ngạc nhiên khi có người còn lưu bí mật trên iPhone
  • Nếu tò mò tin nhắn thực tế trông như thế nào, có một người dùng Reddit đã đăng kèm phiên bản cũ từ năm 2023. Không phải toàn bộ nội dung đều có trong đó: https://www.reddit.com/r/iphone/comments/1c10jai/i_have_rece...

    • Có vẻ tin nhắn khuyên người dùng “cập nhật lên iOS 16.6, phiên bản phần mềm mới nhất”. Tôi thắc mắc liệu tin nhắn có khác đi với người dùng các thiết bị không thể cập nhật lên trên iOS 15, như iPhone 7, 7 Plus, SE hay không
  • Spyware này có thể tồn tại là do khiếm khuyết kỹ thuật trong sản phẩm Apple sao?

    • Về mặt kỹ thuật thì có thể xem là vậy
      Nhưng từ trước đến nay chưa từng có phần mềm có ý nghĩa nào hoàn toàn không có những khiếm khuyết như vậy. Nói cách khác, với kiểu tấn công này, tôi nghĩ iOS có khả năng tốt hơn phần lớn các nền tảng khác
    • Về NSO Group thì nên nghe podcast Darknet Diaries. NSO Group có khả năng trả hơn 100.000 USD cho hacker có zero-day dùng được trên iPhone
      https://darknetdiaries.com/episode/100/
    • Gần như mọi virus máy tính, worm, v.v. từ trước đến nay đều có thể xảy ra vì khiếm khuyết kỹ thuật trong sản phẩm phần mềm. Mọi phần mềm được tạo ra trên đời, kể cả thứ bạn đang dùng hiện giờ, đều có bug
    • Tôi nghĩ vậy. Mọi nền tảng đều có bug và zero-day
  • Có vẻ thực tế là gần như mọi quốc gia đều liên quan, nên tôi tò mò vì sao thông báo chỉ được gửi tới 92 quốc gia

    • Có khi ở một số quốc gia việc thông báo cho người dùng như vậy là bất hợp pháp chăng? Tôi nghĩ ở vài nước, việc cho đương sự biết họ đã bị chính phủ nhắm mục tiêu có thể là bất hợp pháp
  • Không thấy nói đó là 92 quốc gia nào

    • Tôi thấy lạ khi họ cố ý nhắc đến con số đó trong thông điệp gửi người dùng cuối. So với thông điệp năm ngoái, cảm giác hơi chuyển sang nội dung mang tính bình luận