Spyware Pegasus đến từ Israel nguy hiểm ra sao, và cách phát hiện nó trên điện thoại của bạn

Pegasus là một spyware vô cùng tinh vi, có thể được âm thầm cài đặt vào smartphone theo nhiều cách khác nhau.

Spyware cấp quân sự Pegasus, từng được sử dụng để xâm nhập vào smartphone của ít nhất 40 nhà báo Ấn Độ, đã xuất hiện từ khoảng năm 2016 và là một trong những công cụ hack tinh vi nhất với khả năng trích xuất thông tin từ các thiết bị di động.

Phát triển bởi công ty Israel là NSO Group (còn được biết đến với tên gọi Q Cyber Technologies), spyware này có thể ghi âm cuộc gọi, sao chép và gửi tin nhắn, hoặc thậm chí là quay phim thông qua camera điện thoại. Spyware có thể, và đang, được sử dụng để nhắm vào cả các thiết bị chạy hệ điều hành Android lẫn iOS.

Các phiên bản ban đầu của Pegasus đòi hỏi mục tiêu phải bấm vào các đường link chứa mã độc được gửi đến để phần mềm có thể âm thầm cài đặt vào smartphone của họ, từ đó bắt đầu giám sát dữ liệu riêng tư, bao gồm mật mã, cuộc gọi, tin nhắn, và email của nạn nhân.

Spyware này có khả năng biến smartphone thành thiết bị giám sát 24/7, một phần bởi nó có thể kiểm soát hầu hết các công cụ phân tích pháp y, tránh bị phát hiện bởi phần mềm diệt virus, và có thể bị ngừng kích hoạt hay xoá bỏ bởi hacker mà nạn nhân không hề biết được.

Theo các chuyên gia, một khi đã được cài đặt, Pegasus sẽ liên kết các thiết bị đã lây nhiễm đến một hệ thống gọi là "Command and Control Servers" (Máy chủ điều khiển và kiểm soát, viết tắt là C2S), vốn bao gồm những máy tính hay tên miền được sử dụng để gửi và nhận lệnh cũng như dữ liệu đến và từ các thiết bị nạn nhân.

Pegasus được thiết bị để sử dụng băng thông tối thiểu nhằm tránh sự nghi ngờ bằng cách gửi đi những cập nhật định kỳ theo lịch trình đến C2S.

Do đó, các tên miền C2S có thể được sử dụng để xác nhận một vụ hack bởi Pegasus bằng cách liên kết mốc thời gian khi một thiết bị bị lây nhiễm với các mốc thời gian nhận dữ liệu trên các máy chủ C2 liên kết.

Ví dụ, tổ chức Amnesty International đã sử dụng một phương thức giám định dựa trên "mối tương quan tạm thời" giữa lần xuất hiện đầu tiên của dữ liệu trong hệ thống log và quá trình liên lạc của điện thoại với các máy chủ cài đặt Pegasus đã nhận diện được.

Các chuyên gia đến từ The Citizen Lab, một phòng thí nghiệm học thuật thuộc Đại học Toronto, tỏ ra cực kỳ quan ngại trước sự tiên tiến của phiên bản Pegasus hiện tại.

Spyware này hiện sử dụng kỹ thuật tấn công "zero-click" vốn không hề đòi hỏi nạn nhân phải bấm vào bất kỳ đường link dẫn đến mã độc nào nữa! Những cuộc tấn công "zero-click" được tiến hành bằng cách lợi dụng lỗ hổng "zero-day" trong các hệ điều hành di động mà cho đến thời điểm này vẫn chưa được khắc phục.

Vào tháng 12 năm ngoái, các nhà nghiên cứu, bao gồm Bill Marczak từ Citizen Lab, đã công bố một báo cáo khẳng định nhiều cơ quan chính phủ đã sử dụng phiên bản Pegasus mới này để hack vào điện thoại cá nhân của 36 nhà báo, nhà sản xuất, và lãnh đạo của mạng lưới tin tức Al Jazeera. Họ chỉ ra rằng lỗ hổng "zero-click" tồn tại trong ứng dụng iMessage của iOS 13.5.1 đã bị lợi dụng để hack vào một chiếc iPhone 11 của các nhà báo.

Trong một tweet vào Chủ nhật vừa qua, Marczak nói rằng những mẫu iPhone mới nhất (12) có thể vẫn bị ảnh hưởng bởi kỹ thuật tấn công "zero-click" này, và đó có thể là một "hồi chuông báo động đáng quan ngại với mức độ bảo mật của iMessage".

Để xác định một thiết bị Apple có bị lợi dụng bởi Pegasus hay không, Amnesty International đã phân tích các bản ghi của các quy trình thực thi và mức độ sử dụng mạng của chúng trong "DataUsage.sqlite" và "netusage.sqlite", hai tập tin cơ sở dữ liệu lưu trong các thiết bị iOS. Nếu như tập tin đầu tiên có thể tìm thấy trong thư mục backup của ứng dụng iTunes, tập tin thứ hai không hề hiện diện trước các công cụ thông thường. Các nhà phân tích của Amnesty International đã phát hiện ra các thiết bị liên lạc với các tên miền C2 của Pegasus có chứa các bản ghi về một quy trình đầy nghi vấn liên kết đến một lỗ hổng trình duyệt được cho là "nhằm chuẩn bị cho quá trình lây nhiễm thiết bị của toàn bộ phần mềm Pegasus hoàn chỉnh".

Amnesty đã nêu tên 45 quy trình đáng nghi đó trong báo cáo của họ, trong đó có 28 quy trình giống với bản báo cáo độc lập của Citizen Lab.

Các hacker thậm chí có thể tiến hành kỹ thuật social engineer đối với mục tiêu và qua đó cài đặt mã độc lên thiết bị của nạn nhân. Ví dụ, vợ của một nhà báo Mexico bị ám sát trước đó đã nhận được nhiều tin nhắn văn bản về kẻ sát hại chồng mình, nhằm đánh lừa cô bấm vào đường link và lây nhiễm Pegasus lên điện thoại.

Một phiên bản spyware Pegasus khác nhắm đến 1.400 điện thoại thông qua một lỗ hổng phần mềm xuất hiện khi ứng dụng WhatsApp có một cuộc gọi thoại bị lỡ. Công ty thuộc sở hữu Facebook này cho biết đã xác định và vá ngay lỗ hổng này.

Các chuyên gia cảnh báo rằng không phải mọi phương thức và con đường được sử dụng để lây nhiễm spyware lên thiết bị đều đã được bóc trần, đồng thời bày tỏ quan ngại về cuộc chạy đua vũ trang đang ngày một rầm rộ trên không gian mạng.

"Chúng tôi tin rằng khắc phục vấn đề này sẽ không phải là điều dễ dàng hay đơn giản. Nó đòi hỏi sự hợp tác từ nhiều bên, bao gồm chính phủ, khu vực tư nhân, và các tổ chức dân sự cùng chung tay" - Citizen Lab nói.

Các chuyên gia cũng cảnh báo rằng, NSO Group - công ty bán Pegasus cho các chính phủ - và nhiều công ty khác đang tiếp tục cung cấp cho chính phủ một số quốc gia trên thế giới những công cụ vô cùng mạnh mẽ nhằm kiểm soát các chính trị gia và các tổ chức đối lập.