Mã độc Coruna: Sự tiến hóa nguy hiểm từ chiến dịch gián điệp Triangulation
Mã độc Coruna: Tiến hóa nguy hiểm từ Triangulation

Mã độc Coruna: Sự tiến hóa nguy hiểm từ chiến dịch gián điệp Triangulation

Đội ngũ Nghiên cứu và Phân tích Toàn cầu (GReAT) của Kaspersky vừa công bố một phát hiện đáng báo động: bộ mã khai thác mang tên Coruna, từng được cả Apple và Google cảnh báo, không phải là một tập hợp rời rạc mà chính là phiên bản kế nhiệm trực tiếp và được nâng cấp liên tục từ khung phần mềm đã sử dụng trong chiến dịch gián điệp an ninh mạng khét tiếng Operation Triangulation.

Sự chuyển mình từ gián điệp sang tấn công đại trà

Sự tiến hóa của bộ công cụ này đánh dấu một bước chuyển mình cực kỳ nguy hiểm trong thế giới tội phạm mạng. Từ một công cụ gián điệp tinh vi chỉ nhắm vào các mục tiêu cụ thể, Coruna nay đã trở thành một vũ khí công nghệ được sử dụng để tấn công đại trà trên diện rộng, đe dọa hàng triệu người dùng thiết bị Apple.

Thông qua phân tích chuyên sâu các tệp nhị phân, các chuyên gia Kaspersky khẳng định mã khai thác lỗ hổng nhân (kernel exploit) của Coruna và Triangulation nhiều khả năng được phát triển bởi cùng một tác giả hoặc nhóm tác giả. Bằng chứng rõ ràng được xác định thông qua việc tìm thấy sự tương đồng đáng kể ở cả mã khai thác nhân và các thành phần khác của Coruna.

Banner rộng Pickt — ứng dụng danh sách mua sắm cộng tác cho Telegram

Chi tiết về bộ mã khai thác Coruna

Trong bộ tập hợp Coruna, các nhà nghiên cứu đã xác định được năm mã khai thác lỗ hổng bên trong nhân hệ điều hành. Đáng chú ý, một trong số này là phiên bản cập nhật của mã khai thác từng bị phát hiện trong chiến dịch Operation Triangulation vào năm 2023. Bốn mã còn lại, bao gồm cả hai phiên bản được phát triển sau, đều được xây dựng dựa trên cùng một khung gốc, cho thấy sự phát triển liên tục và có hệ thống.

Operation Triangulation - tiền thân của Coruna, là một chiến dịch tấn công có chủ đích (APT) quy mô lớn nhắm vào các thiết bị iOS. Chiến dịch này bị phát giác vào tháng 6 năm 2023 khi nhắm mục tiêu vào máy iPhone của hàng chục nhân viên công ty, khai thác bốn lỗ hổng zero-day gây ảnh hưởng đến nhiều sản phẩm của Apple.

Tấn công toàn diện các thiết bị Apple hiện đại

Sức mạnh đáng sợ của Coruna thể hiện qua khả năng tương thích vượt trội với các dòng chip và hệ điều hành mới nhất của Apple. Mã khai thác này được thiết kế để chạy trên các thiết bị sử dụng bộ vi xử lý A17, cũng như các dòng chip M3, M3 Pro và M3 Max, cho thấy mức độ tinh vi và cập nhật liên tục.

Coruna nhắm vào các phiên bản iOS cho đến 17.2 (ra mắt cuối năm 2023). Những kẻ đứng sau còn tích hợp lệnh kiểm tra riêng biệt dành cho iOS 16.5 beta 4 - phiên bản iOS được Apple tung ra nhằm mục đích vá lỗ hổng bảo mật từng chỉ ra trong báo cáo trước đó. Điều này cho thấy các tác nhân đe dọa không ngừng tìm cách phá vỡ các biện pháp bảo mật của Apple, luôn đi trước một bước trong cuộc đua công nghệ.

Ông Boris Larin, chuyên gia nghiên cứu bảo mật cấp cao tại GReAT của Kaspersky, cho biết: "Việc xuất hiện các cơ chế nhận diện bộ vi xử lý đời mới như M3 hay các phiên bản iOS gần đây cho thấy những kẻ phát triển ban đầu đang ráo riết mở rộng kho mã khai thác nhằm duy trì mức độ tấn công và thích ứng với các biện pháp phòng thủ mới."

Banner sau bài viết Pickt — ứng dụng danh sách mua sắm cộng tác với hình minh họa gia đình

Khuyến nghị bảo mật cho người dùng

Trước nguy cơ mới này, các chuyên gia bảo mật khuyến nghị người dùng iPhone cần cập nhật hệ điều hành iOS lên phiên bản mới nhất ngay lập tức. Apple đã vá những lỗ hổng bị Coruna khai thác, nhưng nếu thiết bị chưa được cập nhật bản vá thì vẫn nằm trong tầm ngắm của cuộc tấn công. Việc chậm trễ trong cập nhật có thể khiến người dùng trở thành nạn nhân của các chiến dịch tấn công ngày càng tinh vi và nguy hiểm.