Sau cuộc điều tra kéo dài 6 tháng, các nhà nghiên cứu Kaspersky đã công bố một bản phân tích chuyên sâu về chuỗi khai thác và khám phá chi tiết về hoạt động lây nhiễm bằng phần mềm gián điệp.
Phần mềm này có tên là TriangleDB, được triển khai bằng cách khai thác lỗ hổng để giành quyền quản trị trên thiết bị iOS.
Sau khi được khởi chạy, nó sẽ hoạt động trong bộ nhớ của thiết bị, do đó dấu vết lây nhiễm sẽ biến mất khi thiết bị khởi động lại. Vì vậy, nếu nạn nhân khởi động lại thiết bị, kẻ tấn công cần phải tái lây nhiễm thiết bị bằng cách gửi một iMessage khác có tệp đính kèm độc hại, bắt đầu lại toàn bộ quá trình khai thác.
Nếu thiết bị không khởi động lại, phần mềm sẽ tự động gỡ cài đặt sau 30 ngày, trừ khi những kẻ tấn công kéo dài thời gian này. Hoạt động như một phần mềm gián điệp phức tạp, TriangleDB thu thập và giám sát dữ liệu.
 |
Phần mềm bao gồm 24 lệnh với các chức năng đa dạng, phục vụ nhiều mục đích khác nhau, chẳng hạn như tương tác với hệ thống tệp của thiết bị (bao gồm tạo tệp, sửa đổi, trích xuất và xóa), quản lý các quy trình (liệt kê và chấm dứt), trích xuất các chuỗi để thu thập thông tin đăng nhập và giám sát vị trí địa lý của nạn nhân.
Trong khi phân tích TriangleDB, các chuyên gia đã phát hiện ra rằng lớp CRConfig chứa một phương thức không được sử dụng có tên là popatedWithFieldsMacOSOnly. Mặc dù không được sử dụng trong phần mềm lây nhiễm iOS, nhưng sự hiện diện của nó cho thấy khả năng nhắm mục tiêu các thiết bị macOS.
Georgy Kucherin, Chuyên gia bảo mật tại Nhóm Phân tích và Nghiên cứu Toàn cầu, Kaspersky cho biết: “Khi đào sâu vào cuộc tấn công, chúng tôi đã phát hiện ra phần mềm lây nhiễm iOS tinh vi này có nhiều điểm kỳ lạ”.
Người dùng có thể tự kiểm tra thiết bị có bị lây nhiễm bởi phần mềm độc hại không bằng cách sử dụng công cụ triangle_check của Kaspersky.
Công ty cũng khuyến cáo người dùng thực hiện các biện pháp sau để tránh trở thành nạn nhân:
- Sử dụng giải pháp bảo mật đáng tin cậy dành cho doanh nghiệp, chẳng hạn như Kaspersky Unified Monitoring and Analysis Platform
- Cập nhật hệ điều hành Windows và phần mềm của bên thứ ba càng sớm càng tốt.
- Trang bị kỹ năng cho nhóm an ninh mạng để giải quyết những mối đe dọa có chủ đích mới nhất.
- Vì nhiều cuộc tấn công có chủ đích bắt đầu bằng lừa đảo hoặc những chiến thuật kỹ thuật xã hội, hãy cung cấp khóa đào tạo về nhận thức bảo mật và hướng dẫn các kỹ năng cần thiết cho nhân viên công ty.