Các nhà nghiên cứu của công ty an ninh mạng BlackBerry đã phát hiện một chiến dịch gián điệp mạng nhắm vào người dùng iPhone ở khu vực Nam Á, với mục đích phân phối payload của phần mềm gián điệp có tên là LightSpy. BlackBerry cho biết chiến dịch này có khả năng cho thấy sự tập trung mới của các tác nhân đe dọa vào các mục tiêu chính trị và căng thẳng trong khu vực.

TỔNG QUAN VỀ LIGHTSPY

LightSpy là một phần mềm độc hại trên iOS phức tạp, được báo cáo lần đầu tiên vào năm 2020 liên quan đến một cuộc tấn công Watering Hole với mục tiêu là người dùng thiết bị Apple.

Cụ thể, đây là bộ phần mềm giám sát với đầy đủ tính năng, chủ yếu tập trung vào việc đánh cắp thông tin cá nhân của nạn nhân, bao gồm dữ liệu vị trí và ghi âm trong các cuộc gọi thoại qua IP (VOIP). Điều này khiến nó trở nên đặc biệt nguy hiểm, với nhiều hậu quả có thể lường trước được liên quan đến việc kẻ tấn công có thể xác định được mục tiêu của chúng với độ chính xác gần như hoàn hảo.

LightSpy trang bị các mô-đun được thiết kế để lọc thông tin thiết bị và các tệp đã lưu, bao gồm dữ liệu từ các ứng dụng nhắn tin phổ biến như QQ, WeChat và Telegram. Nó cũng có một plugin có khả năng thu thập thông tin lịch sử thanh toán của nạn nhân từ WeChat Pay (Weixin Pay ở Trung Quốc). Ngoài ra, LightSpy cũng có thể truy cập vào danh bạ, tin nhắn SMS, lịch sử cuộc gọi điện thoại, vị trí GPS, lịch sử WiFi được kết nối và lịch sử trình duyệt của Safari và Chrome của người dùng. Bộ tính năng toàn diện này có thể biến điện thoại bị nhiễm virus của người dùng thành một thiết bị gián điệp mạnh mẽ.

Năm 2020, chiến dịch LightSpy được thực hiện với các mục tiêu tại Hồng Kông trong bối cảnh căng thẳng chính trị leo thang ở đặc khu hành chính này. Vào thời điểm đó, dựa vào vị trí của các máy chủ điều khiển và ra lệnh (C2), các tác nhân đe dọa của chiến dịch được xác định đến từ Trung Quốc. Thời gian gần đây, các nhà nghiên cứu của BlackBerry đã phát hiện sự trở lại của LightSpy với các mục tiêu tại Nam Á.

Sự xuất hiện trở lại của LightSpy cho thấy sự gia tăng và tinh vi đang diễn ra của các phần mềm gián điệp trên thiết bị di động. Việc nhắm mục tiêu vào các cá nhân ở Nam Á, cùng với những kẻ tấn công nghi ngờ có nguồn gốc từ Trung Quốc làm dấy lên mối lo ngại về động cơ tiềm ẩn và ý nghĩa địa chính trị của chiến dịch này.

Một phân tích của công ty an ninh mạng ThreatFabric (Hà Lan) vào tháng 10/2023 đã phát hiện ra sự chồng chéo về cơ sở hạ tầng và chức năng giữa LightSpy và DragonEgg - phần mềm gián điệp Android được cho là của nhóm tin tặc APT41 tới từ Trung Quốc.

Trong những tháng đầu năm 2024, nhiều công ty công nghệ và bảo mật đã cảnh báo về nguy cơ xảy ra các cuộc tấn công mạng được nhà nước bảo trợ nhằm tác động đến một số kết quả bầu cử nhất định tại một số quốc gia.

PHÂN TÍCH KỸ THUẬT

Chuỗi thực thi

Dựa trên chiến dịch trước đó, các nhà nghiên cứu cho biết sự lây nhiễm ban đầu có thể xảy ra thông qua các trang web tin tức bị xâm nhập đăng tải những nội dung về Hồng Kông.

Cuộc tấn công liên quan đến trình tải độc hại ở giai đoạn đầu nhằm thu thập thông tin về thiết bị và tải xuống các giai đoạn tiếp theo, bao gồm phần mềm gián điệp LightSpy và các plugin khác nhau cho các chức năng theo dõi cụ thể.

Trình tải bắt đầu bằng cách tải kernel LightSpy (bao gồm cả mã hóa và giải mã), phần core của nó hoạt động như một khung gián điệp phức tạp, được thiết kế để phù hợp với các tiện ích mở rộng thông qua hệ thống plugin. Trình tải chịu trách nhiệm tải các plugin này, mỗi plugin đều mở rộng chức năng gián điệp và được trích xuất từ máy chủ của tác nhân đe dọa ở định dạng được mã hóa, sau đó là giải mã, trước khi được thực thi trong môi trường hệ thống.

Đáng chú ý, chiến dịch LightSpy mới nhất sử dụng một nền tảng được gọi là “F_Warehouse”. Nền tảng này thể hiện các tính năng gián điệp mở rộng bao gồm:

- Đánh cắp tệp tin: Có khả năng tìm kiếm và đánh cắp tệp tin từ nhiều ứng dụng phổ biến khác nhau như Telegram, QQ, WeChat, đồng thời cũng nhắm mục tiêu vào các tài liệu và dữ liệu cá nhân khác.

- Ghi âm: Bí mật ghi lại âm thanh thông qua micrô trên thiết bị bị nhiễm.

- Thực hiện trinh sát mạng: Thu thập thông tin về mạng WiFi mà thiết bị đã kết nối.

- Theo dõi hoạt động của người dùng: Thu thập dữ liệu lịch sử duyệt web để theo dõi hành vi trực tuyến.

- Kho ứng dụng: Thu thập thông tin chi tiết về các ứng dụng đã cài đặt trên thiết bị.

- Chụp ảnh: Bí mật chụp ảnh bằng camera của thiết bị.

- Truy cập hệ thống: LightSpy có thể truy xuất danh sách thiết bị và dữ liệu KeyChain của người dùng, đồng thời thực thi các lệnh shell để có thể kiểm soát toàn bộ thiết bị.

- Liệt kê thiết bị: Xác định và liệt kê danh sách các thiết bị được kết nối.

Hình 1. Plugin ghi âm của LightSpy

Hình 1 hiển thị đoạn mã chịu trách nhiệm về chức năng ghi âm trong LightSpy. Plugin này cho phép kẻ tấn công thu thập và trích xuất từ ​​xa các bản ghi âm từ các thiết bị bị xâm nhập, cung cấp cho chúng một công cụ mạnh mẽ để nghe lén các cuộc trò chuyện riêng tư và môi trường xung quanh của người dùng.

Theo dõi lịch sử trình duyệt

LightSpy thể hiện khả năng theo dõi lịch sử trình duyệt web toàn diện, nhắm mục tiêu cả Safari và Google Chrome. Dữ liệu được trích xuất có cấu trúc như sau:

- ID: Mã định danh duy nhất cho mục nhập lịch sử (history).

- URL: Địa chỉ web cụ thể mà người dùng truy cập.

- Title: Tiêu đề trang web đã truy cập.

- Time: Timestamp cho biết thời gian lần cuối người dùng truy cập vào trang web.

Mức độ thông tin chi tiết này cho phép kẻ tấn công có thể nắm bắt cụ thể hơn về các hoạt động và sở thích duyệt web trực tuyến của nạn nhân.

Hình 2. Plugin thông tin duyệt web của LightSpy

Các nhà phát triển của LightSpy đã thể hiện sự quan tâm đặc biệt đến việc lọc dữ liệu từ các ứng dụng nhắn tin phổ biến như Telegram, QQ và WeChat, có khả năng nhằm mục đích chặn các liên lạc riêng tư và thu thập thông tin nhạy cảm được chia sẻ trong các nền tảng này. Ngoài ra, phần mềm độc hại còn tìm kiếm các tài liệu và tệp phương tiện được lưu trữ trên các thiết bị bị xâm nhập, để từ đó tìm cách đánh cắp thông tin tài liệu, hình ảnh và video bí mật.

Hình 3. Đoạn mã lọc dữ liệu từ Telegram

Thực thi lệnh Shell

Khả năng của LightSpy còn mở rộng ra ngoài việc giám sát và lọc dữ liệu. Phần mềm độc hại này cũng có thể tải xuống và chạy một plugin được thiết kế để thực thi các lệnh shell nhận được từ máy chủ C2 của kẻ tấn công. Chức năng này cho phép các tác nhân đe dọa có khả năng kiểm soát hoàn toàn thiết bị của nạn nhân và thực hiện nhiều hành động khác ngoài chức năng cốt lõi của một phần mềm gián điệp.

Có nguồn gốc từ Trung Quốc

Phân tích sâu hơn về mã plugin cho thấy sự hiện diện của các bình luận viết bằng tiếng Trung. Điều này cho thấy rõ ràng rằng các nhà phát triển của LightSpy có thể đến từ Trung Quốc, làm dấy lên lo ngại về sự tham gia tiềm tàng của các nhóm tin tặc được nhà nước bảo trợ và động cơ địa chính trị phía sau chiến dịch này.

Hình 4. Chú thích của mã nguồn bằng tiếng Trung (Tạm dịch: “Dữ liệu không được trả về”)

Lệnh và điều khiển

LightSpy giao tiếp với máy chủ C2 tại địa chỉ hxxps://103.27[.]109[.]217:52202, máy chủ này cũng lưu trữ bảng quản trị có thể truy cập trên cổng 3458.

Hình 5. Bảng quản trị điều khiển của LightSpy

Khi nhập thông tin đăng nhập không chính xác vào bảng điều hành LightSpy, một cảnh báo sẽ được hiển thị bằng tiếng Trung, củng cố thêm nguồn gốc đáng ngờ và khả năng quy kết của các nhà phát triển phần mềm độc hại.

KHUYẾN NGHỊ BẢO MẬT

Sau đây là một số khuyến nghị bảo mật được đưa ra nhằm phòng tránh phần mềm gián điệp LightSpy cũng như các mối đe dọa tương tự khác:

- Nâng cao cảnh giác: Các cá nhân và tổ chức ở khu vực Nam Á, đặc biệt là những người tham gia vào các hoạt động chính trị, nên đặc biệt thận trọng về khả năng bị LightSpy nhắm tới.

- Sử dụng chế độ khóa Lockdown: Apple khuyến nghị các cá nhân nên kích hoạt chế độ Lockdown để giảm thiểu bề mặt tấn công của họ. Khi Lockdown được bật, một số ứng dụng, trang web và tính năng nhất định sẽ bị hạn chế về mặt bảo mật và một số trải nghiệm có thể hoàn toàn không khả dụng.

- Xem lại thông tin tình báo về mối đe dọa mới nhất: Luôn cập nhật về các mối đe dọa và lỗ hổng mới nhất thông qua các báo cáo do các nhà nghiên cứu và tổ chức bảo mật đáng tin cậy cung cấp.

- Cập nhật thiết bị: Người dùng cần đảm bảo đã cập nhật thiết bị với phiên bản mới nhất vì nó sẽ bao gồm các bản sửa lỗi bảo mật.

- Sử dụng mật mã: Bảo vệ thiết bị bằng cách thiết lập mật mã nhằm ngăn chặn việc truy cập vật lý trái phép.

- Xác thực hai yếu tố: Sử dụng xác thực hai yếu tố và mật khẩu mạnh cho ID Apple của người dùng.

- Cảnh giác với các phần mềm không chính thức: Chỉ cài đặt ứng dụng từ App Store, tránh cài đặt các phần mềm, ứng dụng không chính thức và chưa rõ nguồn gốc.

- Chú ý đến an toàn của mật khẩu: Sử dụng mật khẩu mạnh và duy nhất, không sử dụng lại cùng một mật khẩu trên nhiều trang web. Tốt hơn hết, khuyến khích sử dụng xác thực không cần mật khẩu (ví dụ FIDO2) bất cứ khi nào có thể.

- Tránh mở các liên kết lạ: Không nhấp vào liên kết hoặc tệp đính kèm từ những người gửi không xác định.

- Khởi động lại khi gặp vấn đề: Trong một số trường hợp, khởi động lại thiết bị di động có thể giúp người dùng loại bỏ hoặc vô hiệu hóa một số loại phần mềm độc hại.

KẾT LUẬN

Sự trở lại của LightSpy với nền tảng mới “F_Warehouse” linh hoạt, báo hiệu sự leo thang của các mối đe dọa phần mềm gián điệp trên thiết bị di động. Các khả năng mở rộng của chúng, bao gồm lọc dữ liệu trên phạm vi rộng, giám sát âm thanh và khả năng kiểm soát toàn bộ thiết bị, gây ra rủi ro nghiêm trọng cho các cá nhân và tổ chức mục tiêu ở Nam Á.

Bản chất mô-đun của LightSpy gợi ý rằng các khả năng của nó có thể phát triển hơn nữa, điều quan trọng là phải luôn cập nhật về những mối đe dọa mới nhất và các dấu hiệu về sự thỏa hiệp.

Việc các nhà phát triển LightSpy có thể tới từ Trung Quốc, cùng với việc nhắm mục tiêu chính xác vào các cá nhân có khả năng tham gia vào hoạt động chính trị, cho thấy động cơ phía sau của các tác nhân đe dọa dường như được nhà nước bảo trợ. Điều này nhấn mạnh sự cần thiết phải tăng cường cảnh giác và các biện pháp an ninh mạnh mẽ, đặc biệt đối với các cá nhân và tổ chức hoạt động trong lĩnh vực chính trị được nhắm mục tiêu.