iPhone bị hack khắp nơi, người phụ nữ giúp lật tẩy hãng phần mềm gián điệp tinh vi hàng đầu
Thế giới số - Ngày đăng : 19:48, 17/02/2022
NSO Group là một trong những công ty phần mềm gián điệp tinh vi nhất thế giới đang phải đối mặt với hàng loạt hành động pháp lý và sự giám sát ở Mỹ về việc phần mềm của họ được sử dụng để hack các quan chức chính phủ cùng người bất đồng chính kiến trên khắp thế giới.
Tất cả bắt đầu từ một trục trặc phần mềm trên iPhone của Loujain al-Hathloul.
Một lỗi bất thường trong phần mềm gián điệp của NSO Group đã cho phép Loujain al-Hathloul, nhà hoạt động vì quyền phụ nữ Ả Rập Xê Út, cùng các nhà nghiên cứu quyền riêng tư phát hiện ra một loạt bằng chứng cho thấy nhà sản xuất phần mềm gián điệp Israel đã hỗ trợ hack iPhone của cô, theo 6 người liên quan đến vụ việc. Một file hình ảnh giả mạo bí ẩn trong iPhone của Loujain al-Hathlou, do phần mềm gián điệp bỏ lại nhầm, đã gây bất ngờ cho các nhà nghiên cứu bảo mật.
Phát hiện trên iPhone của Loujain al-Hathloul vào năm ngoái đã dẫn đến hàng loạt hành động pháp lý của chính phủ Mỹ khiến NSO Group phải rơi vào thế phòng thủ.
Loujain al-Hathloul, một trong những nhà hoạt động nổi tiếng nhất của Ả Rập Xê Út, dẫn đầu chiến dịch chấm dứt lệnh cấm phụ nữ lái xe ở nước này. Cô được ra tù vào tháng 2.2021 sau khi xộ khám vì tội danh gây tổn hại đến an ninh quốc gia.
Ngay sau khi ra tù, Loujain al-Hathloul đã nhận được email từ Google cảnh báo rằng hacker được nhà nước hậu thuẫn cố gắng xâm nhập tài khoản Gmail của cô. Lo sợ rằng iPhone của mình cũng bị hack, Loujain al-Hathloul đã liên hệ với nhóm bảo vệ quyền riêng tư Citizen Lab (Canada) và yêu cầu họ thăm dò máy cô để tìm bằng chứng. Ba người thân cận với Loujain al-Hathloul tiết lộ thông tin này với Reuters.
Sau 6 tháng tìm hiểu hồ sơ iPhone của Loujain al-Hathloul, nhà nghiên cứu Bill Marczak của Citizen Lab đã đưa ra điều mà anh mô tả là một khám phá chưa từng có: Trục trặc trong phần mềm giám sát được cấy trên iPhone cô đã để lại một bản sao file ảnh độc hại, thay vì xóa chính nó, sau khi thu thập những tin nhắn nhắm đến.
Bill Marczak cho biết việc phát hiện mã máy tính do cuộc tấn công để lại, cung cấp bằng chứng trực tiếp NSO Group đã chế tạo phần mềm gián điệp.
Anh nói: “Nó đã thay đổi cuộc chơi. Chúng tôi đã lấy được thứ mà công ty nghĩ rằng không thể truy cập được”.
Theo 4 người có kiến thức trực tiếp về vụ việc, phát hiện này đã dẫn đến việc Apple phải thông báo cho hàng ngàn nạn nhân của các vụ hack do các chính phủ hậu thuẫn trên khắp thế giới.
Phát hiện từ Citizen Lab và Loujain al-Hathloul đã tạo cơ sở cho vụ kiện vào tháng 11.2021 của Apple chống lại NSO Group và cũng gây được tiếng vang ở Mỹ, nơi các quan chức biết rằng cyberweapon (vũ khí kỹ thuật số) của NSO Group được sử dụng để theo dõi các nhà ngoại giao Mỹ.
Trong những năm gần đây, ngành công nghiệp phần mềm gián điệp đã có sự phát triển bùng nổ khi các chính phủ trên thế giới mua phần mềm hack điện thoại để thực hiện loại hình giám sát kỹ thuật số mà trước đó chỉ một số cơ quan tình báo ưu tú từng sử dụng.
Trong năm qua, một loạt tiết lộ từ các nhà báo và nhà hoạt động, bao gồm cả dự án Pegasus Project hợp tác báo chí quốc tế, đã gắn ngành phần mềm gián điệp với các vi phạm nhân quyền, thúc đẩy sự giám sát chặt chẽ hơn NSO Group và các công ty tương tự.
Tuy nhiên, các nhà nghiên cứu bảo mật cho biết khám phá Loujain al-Hathloul là lần đầu tiên cung cấp bản thiết kế về một hình thức gián điệp mạng mới mạnh mẽ, phần mềm tấn công xâm nhập vào các thiết bị mà không cần bất kỳ sự tương tác nào từ người dùng, cung cấp bằng chứng cụ thể nhất cho đến nay về khả năng của vũ khí kỹ thuật số.
Trong một tuyên bố, người phát ngôn NSO Group cho biết công ty không vận hành các công cụ hack mà họ bán mà "chính phủ, cơ quan thực thi pháp luật và tình báo làm”. Người này đã không trả lời các câu hỏi về việc liệu phần mềm của họ có được sử dụng để nhắm mục tiêu Loujain al-Hathloul hay các nhà hoạt động khác hay không.
Thế nhưng, người phát ngôn NSO Group nói các tổ chức đưa ra những tuyên bố đó là "đối thủ chính trị của tình báo mạng" và cho rằng một số cáo buộc là "bất khả thi về mặt công nghệ cùng hợp đồng". Người này từ chối cung cấp chi tiết cụ thể, trích dẫn các thỏa thuận bảo mật với khách hàng.
Không giải thích chi tiết cụ thể, NSO Group cho biết đã có một thủ tục được thiết lập để điều tra cáo buộc lạm dụng sản phẩm của mình và loại bỏ các khách hàng liên quan vấn đề nhân quyền.
"Tiếp tục cuộc chiến này vì biết mình có thể thay đổi mọi thứ"
Loujain al-Hathloul có lý do chính đáng để nghi ngờ đây không phải là lần đầu tiên cô bị theo dõi.
Một cuộc điều tra năm 2019 của Reuters tiết lộ rằng Loujain al-Hathloul đã bị nhắm mục tiêu vào 2017 bởi nhóm lính đánh thuê Mỹ. Nhóm này điều tra những người bất đồng chính kiến thay mặt cho UAE theo một chương trình bí mật có tên Project Raven, đã phân loại Loujain al-Hathloul là "mối đe dọa an ninh quốc gia" và đột nhập vào iPhone của cô.
Loujain al-Hathloul đã bị bắt và bỏ tù ở Ả Rập Xê Út trong gần 3 năm, nơi gia đình nói rằng cô đã bị tra tấn và thẩm vấn sau khi bị đánh cắp thông tin từ thiết bị của cô. Loujain al-Hathloul được trả tự do vào tháng 2.2021 và đang bị cấm xuất cảnh.
Reuters không có bằng chứng NSO Group liên quan đến vụ hack trước đó.
Trải nghiệm bị theo dõi và bỏ tù khiến Loujain al-Hathloul quyết tâm thu thập bằng chứng có thể được sử dụng để chống lại những kẻ sử dụng công cụ này. Lina al-Hathloul, chị gái của Loujain al-Hathloul, cho biết: “Em ấy cảm thấy mình có trách nhiệm tiếp tục cuộc chiến này vì biết mình có thể thay đổi mọi thứ”.
Loại phần mềm gián điệp mà Citizen Lab phát hiện trên iPhone của Loujain al-Hathloul được gọi là Zero click, nghĩa là người dùng có thể bị nhiễm mà không cần nhấp vào liên kết độc hại.
Zero click thường tự xóa khi lây nhiễm cho người dùng, khiến các nhà nghiên cứu và công ty công nghệ không có mẫu để nghiên cứu. Các nhà nghiên cứu bảo mật cho biết điều đó có thể khiến việc thu thập bằng chứng cứng về các vụ hack iPhone gần như không thể thực hiện được. Thế nhưng, lần này thì khác.
Sự cố để lại một bản sao phần mềm gián điệp ẩn trên iPhone của Loujain al-Hathloul, cho phép Bill Marczak và nhóm của anh có được bản thiết kế ảo về cuộc tấn công và bằng chứng về kẻ đã tạo ra nó.
Bill Marczak nói: “Ở đây, chúng tôi đã lấy được ‘vỏ đạn’ từ hiện trường vụ án”.
Bill Marczak và nhóm của anh phát hiện ra rằng phần mềm gián điệp đã hoạt động một phần bằng cách gửi các file ảnh đến iPhone của Loujain al-Hathloul thông qua một tin nhắn văn bản vô hình.
Các file hình ảnh đã lừa iPhone cấp quyền truy cập vào toàn bộ nhớ của nó, vượt qua bảo mật và cho phép cài đặt phần mềm gián điệp có thể đánh cắp tin nhắn người dùng.
Theo Bill Marczak, phát hiện của Citizen Lab đã cung cấp bằng chứng chắc chắn cho thấy vũ khí mạng do NSO Group xây dựng.
Bill Marczak cho biết phần mềm gián điệp được tìm thấy trên iPhone của Loujain al-Hathloul chứa mã cho thấy nó đang giao tiếp với các máy chủ mà Citizen Lab trước đây xác định là do NSO Group kiểm soát. Citizen Lab đặt tên cho phương pháp hack iPhone mới này là ForcedEntry. Các nhà nghiên cứu sau đó đã cung cấp mẫu cho Apple vào tháng 9.2021.
Có trong tay bản thiết kế về cuộc tấn công cho phép Apple sửa chữa lỗ hổng nghiêm trọng và thông báo cho hàng ngàn người dùng iPhone khác bị phần mềm của NSO Group nhắm mục tiêu. Apple cảnh báo họ đã bị nhắm mục tiêu bởi “những kẻ tấn công do chính phủ tài trợ”.
Đây là lần đầu tiên Apple thực hiện bước này.
Trong khi Apple xác định phần lớn bị nhắm mục tiêu thông qua công cụ của NSO Group, các nhà nghiên cứu bảo mật cũng phát hiện ra phần mềm gián điệp từ nhà cung cấp thứ hai của Israel là QuaDream, cũng tận dụng cùng một lỗ hổng trên iPhone. QuaDream đã không trả lời khi được đề nghị bình luận.
Các nạn nhân bao gồm từ những người bất đồng chính kiến chỉ trích chính phủ Thái Lan đến các nhà hoạt động nhân quyền ở El Salvador.
Trích dẫn những phát hiện thu được từ iPhone của Loujain al-Hathloul, Apple đã kiện NSO Group vào tháng 11.2021 tại tòa án liên bang, cáo buộc công ty Israel đã vi phạm luật pháp Mỹ bằng cách tạo ra các sản phẩm được thiết kế "để nhắm mục tiêu, tấn công và gây hại cho người dùng Apple, các sản phẩm của Apple và Apple".
Apple ghi nhận Citizen Lab đã cung cấp thông tin kỹ thuật được sử dụng làm bằng chứng cho vụ kiện, nhưng không tiết lộ rằng ban đầu nó được lấy từ iPhone của Loujain al-Hathloul.
NSO Group cho biết các phần mềm của họ đã hỗ trợ việc thực thi pháp luật và đã cứu sống "hàng ngàn sinh mạng". Công ty nói một số cáo buộc liên quan đến phần mềm của mình là không đáng tin cậy, nhưng từ chối giải thích chi tiết về các tuyên bố cụ thể viện dẫn các thỏa thuận bảo mật với khách hàng của mình.
Trong số những người mà Apple cảnh báo có ít nhất 9 nhân viên Bộ Ngoại giao Mỹ ở Uganda đã bị nhắm mục tiêu bằng phần mềm NSO Group, theo những người quen thuộc với vấn đề này, gây ra một làn sóng chỉ trích mới vào công ty.
Tháng 11.2021, Bộ Thương mại Mỹ đã đưa NSO Group vào danh sách đen thương mại, hạn chế các hãng Mỹ bán các sản phẩm phần mềm của công ty Israel này, đe dọa chuỗi cung ứng của họ.
Bộ Thương mại Mỹ cho biết hành động này dựa trên bằng chứng cho thấy phần mềm gián điệp của NSO Group đã được sử dụng để nhắm mục tiêu "các nhà báo, doanh nhân, nhà hoạt động, học giả và nhân viên đại sứ quán".
Tháng 12.2021, Thượng nghị sĩ đảng Dân chủ - Ron Wyden và 17 nhà lập pháp khác đã kêu gọi Bộ Tài chính Mỹ trừng phạt NSO Group và ba công ty giám sát nước ngoài khác mà họ cho rằng đã giúp các chính phủ độc tài vi phạm nhân quyền.
Lina al-Hathloul, chị gái của Loujain al-Hathloul, cho biết các đòn tài chính với NSO Group có thể là điều duy nhất có thể ngăn chặn ngành công nghiệp phần mềm gián điệp. “Nó đánh vào chỗ họ rất đau”, Lina al-Hathloul nhấn mạnh.