-
09/04/2020
-
99
-
853 bài viết
Phanh phui công cụ gián điệp Graphite và lỗ hổng iOS chưa từng bị phát hiện
Mới đây, các chuyên gia bảo mật đã xác nhận sự xuất hiện của phần mềm gián điệp Graphite - một nền tảng gián điệp thuê ngoài (mercenary spyware) do công ty Paragon Security của Israel phát triển. Graphite được sử dụng trong các cuộc tấn công khai thác lỗ hổng zero-click nghiêm trọng trên hệ điều hành iOS của Apple, bị phát hiện nhắm vào ít nhất hai nhà báo tại châu Âu.
Graphite là phần mềm gián điệp cao cấp, được thiết kế để theo dõi mục tiêu cụ thể mà không cần tương tác từ phía nạn nhân. Sau khi xâm nhập vào thiết bị, nó sẽ kết nối đến máy chủ điều khiển (C2) của kẻ tấn công để nhận lệnh, đánh cắp dữ liệu, ghi âm, chụp ảnh, giám sát vị trí, v.v...
Tấn công zero-click qua iMessage - Không cần mở tin nhắn cũng bị hack
Các cuộc tấn công diễn ra thông qua lỗ hổng có mã CVE-2025-43200, ảnh hưởng đến iOS 18.2.1. Đây là một lỗi logic trong quá trình xử lý ảnh hoặc video chia sẻ qua iCloud Link. Tin nhắn iMessage chứa liên kết độc hại được gửi đến nạn nhân sẽ tự động được xử lý bởi hệ thống, kích hoạt mã độc mà không cần người dùng chạm vào tin nhắn – đúng bản chất của một cuộc tấn công zero-click.
Cách thức tấn công
Khuyến nghị bảo mật dành cho người dùng iPhone
Graphite là phần mềm gián điệp cao cấp, được thiết kế để theo dõi mục tiêu cụ thể mà không cần tương tác từ phía nạn nhân. Sau khi xâm nhập vào thiết bị, nó sẽ kết nối đến máy chủ điều khiển (C2) của kẻ tấn công để nhận lệnh, đánh cắp dữ liệu, ghi âm, chụp ảnh, giám sát vị trí, v.v...
Tấn công zero-click qua iMessage - Không cần mở tin nhắn cũng bị hack
Các cuộc tấn công diễn ra thông qua lỗ hổng có mã CVE-2025-43200, ảnh hưởng đến iOS 18.2.1. Đây là một lỗi logic trong quá trình xử lý ảnh hoặc video chia sẻ qua iCloud Link. Tin nhắn iMessage chứa liên kết độc hại được gửi đến nạn nhân sẽ tự động được xử lý bởi hệ thống, kích hoạt mã độc mà không cần người dùng chạm vào tin nhắn – đúng bản chất của một cuộc tấn công zero-click.
Cách thức tấn công
- Hacker sử dụng một tài khoản iMessage (gọi tạm là ATTACKER1) để gửi liên kết iCloud chứa nội dung độc hại.
- iPhone của nạn nhân khi nhận được tin nhắn sẽ tự động phân tích nội dung đa phương tiện (ảnh/video).
- Lỗ hổng được khai thác để thực thi mã từ xa (RCE) cho phép cài đặt và kích hoạt phần mềm gián điệp Graphite.
- Thiết bị sau đó kết nối tới máy chủ C2 tại địa chỉ IP 46.183.184[.]91, được cho là thuộc hạ tầng của Paragon.
- Dù phần lớn dữ liệu bị xóa, các chuyên gia vẫn khôi phục được dấu vết rõ ràng từ các bản ghi hệ thống.
- Cuộc tấn công diễn ra vào đầu năm 2025.
- Apple đã gửi cảnh báo chính thức đến các nạn nhân vào ngày 29/4/2025, xác nhận họ là mục tiêu của "một phần mềm gián điệp tinh vi".
- Bản vá lỗi được phát hành trong iOS 18.3.1 vào ngày 10/2/2025, khắc phục bằng cách cải thiện kiểm tra logic trong xử lý iCloud Link.
- Đây không phải lần đầu Graphite bị phát hiện. Trước đó, phần mềm này cũng bị sử dụng trong các cuộc tấn công zero-click thông qua WhatsApp nhằm vào các nhà báo và nhà hoạt động tại Ý.
Khuyến nghị bảo mật dành cho người dùng iPhone- Cập nhật iOS ngay lên phiên bản mới nhất (iOS 18.3.1 trở lên).
- Không trì hoãn các bản vá bảo mật, đặc biệt khi có cảnh báo từ Apple.
- Hạn chế chia sẻ thông tin nhạy cảm qua các nền tảng nhắn tin, kể cả iMessage hay WhatsApp.
- Cảnh giác với các tin nhắn lạ, kể cả khi bạn không bấm vào vì lỗ hổng zero-click không cần tương tác để khai thác.
Theo Bleeping Computer