Các chuyên gia từ Kaspersky vừa công bố phát hiện mới liên quan đến bộ mã khai thác Coruna, cho thấy đây không phải là công cụ rời rạc mà là phiên bản nâng cấp trực tiếp từ chiến dịch gián điệp nổi tiếng Operation Triangulation.
Coruna: Bản nâng cấp từ chiến dịch gián điệp tinh vi
Thông qua phân tích mã nguồn chuyên sâu, Đội ngũ Nghiên cứu và Phân tích Toàn cầu (GReAT) xác định Coruna có mối liên hệ chặt chẽ với các mã khai thác từng được sử dụng trong Operation Triangulation.
Cụ thể, một trong năm mã khai thác kernel trong Coruna là phiên bản cập nhật từ mã đã được phát hiện năm 2023. Bốn mã còn lại, bao gồm cả những mã được phát triển sau khi chiến dịch bị phanh phui, đều dựa trên cùng một khung nền tảng.
Không chỉ dừng ở các mã khai thác nhân hệ điều hành, sự tương đồng còn xuất hiện ở nhiều thành phần khác. Điều này cho thấy Coruna là một hệ thống được duy trì và phát triển liên tục, thay vì tập hợp các công cụ riêng lẻ.
Nhắm đến thiết bị Apple và iOS mới
Theo Kaspersky, Coruna có thể hoạt động trên các thiết bị sử dụng chip A17, M3, M3 Pro và M3 Max của Apple, đồng thời tương thích với các phiên bản iOS đến 17.2.
Đáng chú ý, mã khai thác còn tích hợp cơ chế kiểm tra dành riêng cho iOS 16.5 beta 4 – phiên bản từng được Apple phát hành để vá các lỗ hổng được phát hiện trước đó.
Ông Boris Larin, chuyên gia bảo mật cấp cao tại GReAT, cho biết ban đầu chưa đủ bằng chứng để khẳng định mối liên hệ giữa Coruna và Triangulation. Tuy nhiên, sau khi phân tích trực tiếp các tệp nhị phân, nhóm nghiên cứu xác nhận đây là một hệ thống khai thác được kế thừa và nâng cấp.
Ông cũng cảnh báo Coruna đang chuyển từ công cụ gián điệp nhắm mục tiêu sang tấn công trên diện rộng, cho thấy mức độ nguy hiểm ngày càng gia tăng.
Người dùng iPhone cần cập nhật iOS ngay
Kaspersky khuyến nghị người dùng iPhone nhanh chóng cập nhật iOS lên phiên bản mới nhất. Các lỗ hổng bị Coruna khai thác đã được Apple vá, nhưng những thiết bị chưa cập nhật vẫn đối mặt nguy cơ bị tấn công.
Bên cạnh đó, doanh nghiệp cần triển khai hệ thống giám sát an ninh tập trung, cập nhật phần mềm định kỳ và tăng cường năng lực đội ngũ an ninh mạng để đối phó với các cuộc tấn công có chủ đích ngày càng tinh vi.
Chiến dịch Operation Triangulation là gì?
Operation Triangulation là chiến dịch tấn công có chủ đích (APT) quy mô lớn nhắm vào thiết bị iOS, được công bố lần đầu vào tháng 6/2023.
Kaspersky phát hiện chiến dịch này khi giám sát lưu lượng Wi-Fi nội bộ, qua đó phát hiện hàng chục thiết bị iOS bị nhắm mục tiêu. Các chuyên gia xác định ít nhất bốn lỗ hổng zero-day đã bị khai thác, ảnh hưởng đến nhiều sản phẩm của Apple.
Phúc Nguyễn
