Người dùng Android điêu đứng vì phần mềm gián điệp này
Theo nhóm phân tích mối đe dọa của Google (TAG), phần lớn các lỗ hổng zero-day được phát hiện vào năm ngoái đều do các công ty giám sát tư nhân cố tình tạo ra.
Cytrox, một công ty bí mật có trụ sở tại Bắc Macedonia bị cáo buộc đã bán quyền truy cập vào 4 lỗ hổng bảo mật zero-day trên trình duyệt Google Chrome và Android cho các tin tặc có liên kết với chính phủ, Google tiết lộ.
Tin tặc sau đó đã tiến hành khai thác lỗ hổng và thực hiện chiến dịch tấn công bằng phần mềm gián điệp Predator.
Cytrox cũng được cho là đã cấp quyền truy cập vào một số lỗ hổng bảo mật “n-days” (hiện đã được Google vá lỗi), nhắm vào nhóm đối tượng người dùng chưa cập nhật điện thoại hoặc ứng dụng.
Các nhà nghiên cứu tin rằng nhóm tin tặc đã mua phần mềm gián điệp Predator có trụ sở trên khắp thế giới, bao gồm Hy Lạp, Serbia, Ai Cập, Armenia, Tây Ban Nha, Indonesia, Madagascar và Bờ Biển Ngà (Côte d’Ivoire).
Bên cạnh đó, nhóm phân tích mối đe dọa của Google (TAG) còn cảnh báo về một xu hướng mới đáng lo ngại: phần lớn các lỗ hổng zero-day mà họ phát hiện năm ngoái được cố ý “phát triển” bởi các công ty giám sát tư nhân như Cytrox. “7 trong số 9 lỗ hổng zero-day được phát hiện vào năm 2021 được bán và sử dụng bởi các tổ chức do chính phủ hậu thuẫn”.
Các vụ bê bối tấn công liên quan đến ngành công nghiệp giám sát tư nhân đã gây ra tranh cãi đáng kể trong những năm gần đây. Đặc biệt, công ty phần mềm gián điệp nổi tiếng NSO Group bị cáo buộc đã bán công cụ hack cho một số chính phủ trên thế giới.
Trước đó không lâu, các nhà nghiên cứu bảo mật tại Citizen Lab cảnh báo phần mềm gián điệp do NSO Group sản xuất đã được sử dụng để tấn công hàng loạt chính trị gia và các nhà hoạt động ở châu Âu.
Các thiết bị liên quan đến văn phòng ngoại giao và văn phòng của Thủ tướng Anh Boris Johnson được cho là đã bị nhắm mục tiêu, cũng như điện thoại của hàng chục thành viên thuộc phong trào đòi độc lập ở Catalan.
Chia sẻ với The New Yorker, các nhà nghiên cứu của Citizen Lab nói rằng các thiết bị di động kết nối với Bộ Ngoại giao Anh đã bị tấn công bằng Pegasus năm lần trong khoảng thời gian từ tháng 7 năm 2020 đến tháng 6 năm 2021.
Tương tự, một điện thoại kết nối với văn phòng số 10 phố Downing, nơi Thủ tướng Anh Boris Johnson làm việc, đã bị tấn công bằng phần mềm độc hại vào tháng 7 năm 2020.
Theo các nhà nghiên cứu, Các Tiểu vương quốc Ả Rập Thống nhất (UAE) bị tình nghi đứng đằng sau vụ tấn công bằng phần mềm gián điệp tại số 10 phố Downing. Trước đó, quốc gia này cũng bị cáo buộc có liên quan đến một số vụ hack khác bằng phần mềm gián điệp Pegasus.