Các nhà nghiên cứu tại Citizen Lab cho biết: “Nhóm tin tặc đã nhắm mục tiêu vào ông Ahmed Eltantawy ngay khi ông này công khai kế hoạch tranh cử Tổng thống trong cuộc bầu cử tại Ai Cập năm 2024”, đồng thời quy kết cuộc tấn công này được Chính phủ Ai Cập hậu thuẫn vì đây là khách hàng lớn của các phần mềm gián điệp thương mại.
Theo một cuộc điều tra chung được thực hiện bởi phòng thí nghiệm liên ngành của Canada và nhóm phân tích mối đe dọa của Google (TAG), phần mềm gián điệp được phân phối qua các liên kết gửi trên SMS và WhatsApp.
Các nhà nghiên cứu của Citizen Lab cho biết: “Vào tháng 8 và tháng 9/2023, kết nối di động của Eltantawy liên tục được chọn để nhắm mục tiêu thực hiện tấn công chèn mạng, đây là một hình thức tấn công mà tin tặc cố gắng phá vỡ hoặc chặn các gói từ các kết nối mạng đã được thiết lập và đưa các gói tin của chúng vào luồng dữ liệu, các gói tin bị tin tặc chèn vào sẽ xuất hiện dưới dạng gói tin bình thường. Khi Eltantawy truy cập một số trang web mà không sử dụng HTTPS, một thiết bị được cài đặt ở biên mạng của Vodafone Ai Cập đã tự động chuyển hướng đến một trang web độc hại để lây nhiễm phần mềm gián điệp Predator của Cytrox vào điện thoại của ông ta”.
Chuỗi tấn công khai thác đã lợi dụng các lỗ hổng CVE-2023-41991, CVE-2023-41992 và CVE-2023-41993 có thể cho phép tác nhân độc hại bỏ qua xác thực chứng thư số, nâng cao đặc quyền và thực thi mã từ xa các thiết bị được nhắm mục tiêu khi xử lý nội dung web được tạo đặc biệt.
Phần mềm gián điệp Predator do công ty Cytrox sản xuất, tương tự như Pegasus của tập đoàn NSO, cho phép khách hàng giám sát các mục tiêu quan tâm và thu thập dữ liệu nhạy cảm từ các thiết bị bị xâm nhập.
Lỗ hổng được lưu trữ trên miền có tên “sec-flare[.]com”, được cho là đã được phát tán sau khi Eltantawy được chuyển hướng đến một trang web có tên “c.betly[.]me” bằng một cuộc tấn công chèn mạng tinh vi sử dụng hộp trung gian PacketLogic của Sandvine trên kênh truyền liên kết giữa Telecom Ai cập và Vodafone Ai cập.
“Nội dung của trang web đích bao gồm hai iframe, ID “if1” chứa nội dung mồi nhử (trong trường hợp này là liên kết đến tệp APK không chứa phần mềm gián điệp) và ID “if2” là iframe vô hình chứa liên kết lây nhiễm Predator được lưu trữ trên sec-flare[.]com”, Citizen Lab cho biết.
Nhà nghiên cứu Maddie Stone của Google TAG đã mô tả đây là trường hợp của một cuộc tấn công trung gian (AitM) lợi dụng việc truy cập vào một trang web sử dụng HTTP để chặn và buộc nạn nhân truy cập một trang web khác được điều hành bởi tin tặc.
Eltantawy đã nhận được ba tin nhắn SMS vào tháng 9/2021, tháng 5/2023 và tháng 9/2023 giả dạng cảnh báo bảo mật từ WhatsApp thúc giục ông nhấp vào liên kết để chấm dứt phiên đăng nhập đáng ngờ bắt nguồn từ một thiết bị Windows có mục đích. Sau đó, phần mềm gián điệp đã được cài trên thiết bị của Eltantawy trong khoảng 2 phút 30 giây sau khi ông ta đọc tin nhắn được gửi vào tháng 9/2021.
Ba tin nhắn SMS giả mạo Whatsapp mà Eltantawy nhận được
Citizen Lab cho biết: “Mặc dù đã có những bước tiến lớn trong việc mã hóa web trong những năm gần đây, nhưng người dùng vẫn thỉnh thoảng truy cập các trang web không có HTTPS và một lần truy cập trang web không phải HTTPS có thể dẫn đến nhiễm phần mềm gián điệp”.
Lê Thị Bích Hằng
(Học viện Kỹ thuật mật mã)
10:00 | 12/09/2023
13:00 | 29/06/2023
08:00 | 22/05/2024
10:00 | 10/07/2023
10:00 | 28/09/2024
Sáng 28/9, tại Hà Nội, Học viện Kỹ thuật Mật mã (Ban Cơ yếu Chính phủ) đã chính thức khai mạc cuộc thi “An toàn và Bảo mật thông tin toàn quốc CIS 2024”. Đây là lần đầu tiên cuộc thi được Học viện Kỹ thuật mật mã phối hợp với các cơ quan chuyên trách của Ban Cơ yếu Chính phủ tổ chức. Sự kiện đã thu hút sự tham gia của 29 đội tuyển đến từ 16 trường đại học trên cả nước.
14:00 | 24/09/2024
Một tác nhân đe dọa chưa được ghi nhận trước đây đã nhắm mục tiêu vào các nhà sản xuất máy bay không người lái ở Đài Loan trong chiến dịch tấn công mạng bắt đầu vào năm 2024.
16:00 | 19/09/2024
Chỉ số an toàn thông tin mạng toàn cầu (Global Cybersecurity Index - GCI) 2024, được Liên minh Viễn thông quốc tế (ITU), cơ quan chuyên ngành của Liên hợp quốc công bố ngày 12/9/2024. Trong báo cáo, Việt Nam là 1 trong 46 quốc gia được xếp vào nhóm 1 về chỉ số an toàn thông tin toàn cầu của ITU năm 2024.
11:00 | 26/08/2024
Chính phủ Hàn Quốc đưa ra cáo buộc rằng tin tặc Triều Tiên đã đánh cắp thông tin quan trọng về xe tăng K2, xe tăng chiến đấu chủ lực của nước này, cũng như máy bay do thám có tên Baekdu và Geumgang.
Trong 02 ngày 09 và 10/10, tại Hà Nội, Cục Cơ yếu Bộ Tổng Tham mưu tổ chức Hội nghị tập huấn nghiệp vụ công tác quản lý xây dựng lực lượng Cơ yếu Quân đội năm 2024. Thiếu tướng Hoàng Văn Quân, Cục trưởng Cục Cơ yếu Bộ Tổng tham mưu dự và chỉ đạo Hội nghị.
08:00 | 11/10/2024
Ngày 19/9/2024, tại Hà Nội, Chi hội Nhà báo Tạp chí An toàn thông tin đã tổ chức thành công Đại hội Chi hội nhiệm kỳ 2024 - 2027.
07:00 | 20/09/2024
Một vụ lừa đảo gây chấn động thị trường âm nhạc Mỹ và thế giới vừa bị phá vỡ. Cục Điều tra liên bang Mỹ (FBI) thông báo đã bắt giữ Michael Smith, 52 tuổi, một nhà sản xuất âm nhạc có tiếng tăm trên các nền tảng như Spotify, Amazon và Apple Music, với cáo buộc lừa dối và thu lợi bất chính hàng triệu USD tiền bản quyền bằng các bài hát do trí tuệ nhân tạo (AI) tạo ra.
13:00 | 09/10/2024