Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Phần mềm gián điệp Graphite được sử dụng trong các cuộc tấn công Zero-Click nhắm vào các nhà báo

15:15 | 17/06/2025
Hồng Đạt

Mới đây, các nhà nghiên cứu tại nhóm bảo mật Citizen Lab thuộc Trường Đại học Toronto (Mỹ) đã phát hiện sự xuất hiện của Graphite, phần mềm gián điệp này đã được các tác nhân đe dọa sử dụng trong các cuộc tấn công Zero-Click nhắm vào các thiết bị Apple iOS, với đối tượng nhắm đến là hai nhà báo ở châu Âu.

Các nhà nghiên cứu cho biết các nạn nhân bao gồm một số nhà báo nổi tiếng của châu Âu (yêu cầu được ẩn danh) và Ciro Pellegrino, một nhà báo tại ấn phẩm Fanpage[.]it của Ý.

“Phân tích của chúng tôi cho thấy rằng một nhà báo nổi tiếng người châu Âu (yêu cầu giấu tên) và nhà báo người Ý Ciro Pellegrino đều bị phần mềm gián điệp Graphite nhắm mục tiêu”, Citizen Lab đưa tin. Các cuộc tấn công xảy ra vào đầu năm 2025 và Apple đã gửi thông báo tới hai nạn nhân vào ngày 29/4, thông báo rằng họ đã bị "phần mềm gián điệp tiên tiến" nhắm mục tiêu.

Kẻ tấn công đã sử dụng nền tảng phần mềm gián điệp Graphite để nhắm vào các thiết bị iPhone của nạn nhân đang chạy iOS 18.2.1, đồng thời khai thác CVE-2025-43200, đây là lỗ hổng bảo mật zero-day vào thời điểm đó.

Apple mô tả lỗ hổng này xuất phát từ “một vấn đề logic khi xử lý ảnh hoặc video được tạo ra một cách độc hại và chia sẻ qua iCloud Link”. Nhà cung cấp đã giải quyết lỗ hổng bảo mật trong bản phát hành iOS tiếp theo (18.3.1).  

Theo phân tích của Citizen Lab, vector phân phối của Graphite là iMessage. Kẻ tấn công đã sử dụng một tài khoản, được gắn nhãn chung là ATTACKER1 (trong nghiên cứu), để gửi các tin nhắn được thiết kế đặc biệt nhằm khai thác lỗ hổng CVE-2025-43200, từ đó thực thi mã từ xa. Điều này giúp phát tán phần mềm gián điệp mà không cần bất kỳ tương tác nào từ mục tiêu, được gọi là cuộc tấn công Zero-Click và không tạo ra bất kỳ dấu hiệu rõ ràng nào để cảnh báo nạn nhân.

Khi hoạt động, phần mềm gián điệp sẽ liên hệ với máy chủ điều khiển và ra lệnh (C2) để nhận thêm hướng dẫn. Trong trường hợp được Citizen Lab xác nhận, điện thoại bị lây nhiễm đã kết nối với địa chỉ: https://46[.]183[.]184[.]91, một VPS được liên kết với cơ sở hạ tầng của Paragon (công ty phát triển phần mềm Graphite của Israel). Địa chỉ IP này được lưu trữ trên EDIS Global và hoạt động ít nhất cho đến ngày 12/4.

Mặc dù không để lại nhiều dấu vết trên các thiết bị, Citizen Lab vẫn có thể khôi phục một số log có đủ bằng chứng để xác định các cuộc tấn công là do phần mềm gián điệp Graphite gây ra. Dòng phần mềm gián điệp tương tự đã bị “phát hiện” vào đầu năm nay trong một cuộc tấn công Zero-Click khác, nhằm khai thác lỗ hổng zero-day trong WhatsApp nhắm mục tiêu vào các nạn nhân người Ý.

Chính quyền Ý đã xác nhận vào đầu 6/2025 về nhiều vụ tấn công nhằm vào các cá nhân trong nước, bao gồm nhà báo Francesco Cancellato và các nhà hoạt động Luca Casarini và Tiến sĩ Giuseppe “Beppe” Caccia. Tuy nhiên, hiện tại các bên chịu trách nhiệm cho những vụ tấn công đó vẫn chưa được công khai.

Twitter Zalo Facebook YouTube Copy Link QR Code
IMESSAGE ZERO-CLICK APPLE CVE-2025-43200 GRAPHITE PHẦN MỀM ĐỘC HẠI ZERO-DAY NHÀ BÁO PHẦN MỀM GIÁN ĐIỆP
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết