Tin tặc sử dụng giao thức quản lý thiết bị di động MDM để theo dõi iPhone

Các nhà nghiên cứu bảo mật đã tìm ra một chiến dịch malware dựa trên dịch vụ quản lý thiết bị di động nhắm vào đối tượng cụ thể diễn ra từ tháng 8 năm 2015. Tuy nhiên, chỉ có 13 chiếc iPhone ở Ấn Độ là đối tượng của chiến dịch này.

Những tin tặc này, khả năng cao cũng đến từ Ấn Độ, đã sử dụng giao thức quản lý thiết bị di động (MDM) – một loại phần mềm bảo mật dùng bởi các công ty lớn để quản lý và thi hành chính sách trên các thiết bị của nhân viên – để cài đặt ứng dụng độc hại từ xa.

Lợi dụng dịch vụ quản lý thiết bị di động của Apple để điều khiển thiết bị từ xa

Để thêm một thiết bị iOS vào MDM, người dùng phải cài thủ công một chứng chỉ nhà phát triển doanh nghiệp thông qua Chương trình nhà phát triển doanh nghiệp của Apple.

Các công ty có thể gửi tệp cấu hình quản lý thiết bị di động qua email hay trang web để thêm một thiết bị từ xa bằng Apple Configurator.

Khi người dùng cài đặt, dịch vụ này sẽ cho người quản trị của công ty điều khiển thiết bị từ xa, cài và gỡ bỏ ứng dụng, thêm hoặc bỏ chứng chỉ, khóa thiết bị, thay đổi yêu cầu mật khẩu, v.v.

Apple giải thích về MDM: “MDM dùng dịch vụ thông báo đẩy của Apple (APNS) để gửi một tin đánh thức thiết bị được điều khiển. Thiết bị sẽ kết nối vào một dịch vụ web được định sẵn để nhận lệnh và phản hồi kết quả.”

Do mỗi bước trong quá trình cấu hình đều đòi hỏi phải có tương tác từ người dùng (như quá trình thêm chứng chỉ trên iPhone), chưa rõ bằng cách nào mà các tin tặc có thể thêm 13 chiếc iPhone đối tượng vào dịch vụ quản lý thiết bị di động của họ.

Tuy nhiên các nhà nghiên cứu từ đội an ninh thông tin Cisco Talos – cũng chính là những người phát hiện ra vụ việc – tin rằng các tin tặc đã dùng một cơ chế phi kỹ thuật như gọi điện mạo danh hỗ trợ kỹ thuật, hay trực tiếp tương tác vật lý với các thiết bị được nhắm đến.

Theo dõi bằng các phiên bản độc hại của ứng dụng Telegram và WhatsApp

Theo các nhà nghiên cứu, các tin tặc đằng sau chiến dịch này đã dùng dịch vụ quản lý thiết bị di động để cài từ xa các phiên bản bị chỉnh sửa của các ứng dụng thông dụng vào iPhone của người dùng để theo dõi và đánh cắp thông tin địa điểm, danh bạ, ảnh và tin nhắn.

Để thêm các tính năng độc hại vào các ứng dụng chat bảo mật như Telegram và WhatsApp, tin tặc đã dùng kỹ thuật “BOptions sideloading” để chèn một thư viện động vào trong các ứng dụng này.

Thư viện được chèn vào có thể đòi hỏi thêm một số quyền bổ sung, chạy mã và đánh cắp thông tin từ ứng dụng gốc,” các nhà nghiên cứu chia sẻ.

Malware được chèn vào phiên bản độc hại của Telegram và WhatsApp để gửi đi thông tin về danh bạ, địa điểm và ảnh từ các thiết bị bị hack đến một máy chủ từ xa ở địa chỉ hxxp[:]//techwach[.]com.

“Talos đã nhận diện một ứng dụng khác cũng chạy đoạn mã độc này trong một chiến dịch tấn công ở Ấn Độ. PrayTime là ứng dụng đưa thông báo đẩy khi đến giờ cầu nguyện.”

“Mục đích của malware là tải và hiển thị quảng cáo định trước đến người dùng. Ứng dụng này cũng nâng quyền của framework riêng tư để đọc được tin nhắn trên thiết bị và gửi lên máy chủ C2.

Tại thời điểm này, chưa rõ ai là kẻ đứng đằng sau chiến dịch tấn công, ai là đối tượng và mục đích đằng sau cuộc tấn công là gì. Nhưng các nhà nghiên cứu đã tìm ra bằng chứng cho thấy các tin tặc đang hoạt động tại Ấn Độ dù đã cố tình giả mạo đến từ Nga.

“Trong thời gian 3 năm, các tin tặc này đã không hề bị phát hiện – khả năng là do số lượng thiết bị bị hack không lớn. Chúng tôi đã tìm ra một số thiết bị kiểm tra được thêm vào MDM với số điện thoại được đăng ký với một nhà mạng Ấn Độ.

“Toàn bộ thông tin kỹ thuật đều chỉ về cùng quốc gia mà nạn nhân đang sinh sống: Ấn Độ.”

Tại thời điểm báo cáo, Apple đã gỡ bỏ 3 chứng chỉ liên quan điến chiến dịch này và đã gỡ 2 chứng chỉ còn lại sau khi được đội ngũ của Talos cảnh báo.

THN