Những điều cần biết về phần mềm gián điệp Pegasus đang làm dậy sóng truyền thông

Nhiều chính trị gia, giám đốc điều hành doanh nghiệp, nhà báo và các nhà hoạt động trên thế giới đã bị thu thập dữ liệu thông qua phần mềm độc hại Pegasus do công ty tư nhân NSO của Israel phát triển.

Trong vài ngày qua, truyền thông quốc tế đã dậy sóng về vụ việc này. Ba tờ nhật báo lớn gồm Washington Post, Guardian, Le Monde và nhiều cơ quan báo chí khác đã phối hợp điều tra một vụ rò rỉ dữ liệu được cho là có liên quan đến hơn 50.000 số điện thoại di động thuộc diện đối tượng được các khách hàng của NSO quan tâm từ năm 2016.

Mức độ ảnh hưởng

Các nhà nghiên cứu trong lĩnh vực bảo mật đã tìm thấy bằng chứng về việc phần mềm Pegasus đang cố gắng cài đặt thành công trên 37 điện thoại của các chính trị gia, nhà báo, doanh nhân nhà và các giám đốc điều hành.

Washington Post đưa tin trong danh sách đó có 10 thủ tướng, ba tổng thống và một nhà vua. Họ là mục tiêu của hoạt động giám sát bí mật bằng phần mềm. Mặc dù không có bằng chứng nào cho thấy đây là một cuộc tấn công được thực hiện bởi NSO Group, nhưng phần mềm Pegasus là một ví dụ mới nhất về các cuộc tấn công vào các lỗ hổng kỹ thuật số.

Khai thác thông tin cá nhân như - ảnh, tin nhắn văn bản và email - được lưu trữ trên điện thoại của họ, phần mềm gián điệp có thể tiết lộ những gì đang diễn ra trong cuộc sống của họ, nó vượt qua các phương thức mã hóa bảo vệ dữ liệu được gửi qua Internet. Pegasus nhắm mục tiêu 50.000 số điện thoại được kết nối với các điện thoại trên khắp thế giới.

Pegasus là gì?

Cũng theo Washington Post, Pegasus là sản phẩm nổi tiếng nhất của NSO. Nó có thể được cài đặt từ xa mà không cần mục tiêu phải mở liên kết tài liệu hoặc trang web.

Pegasus tiết lộ tất cả các khách hàng của NSO có thể bị kiểm soát thông qua tin nhắn văn bản, ảnh, email, video, danh sách liên hệ và có thể ghi âm các cuộc gọi điện thoại. Nó cũng có thể bí mật bật micrô và camera của điện thoại để tạo các bản ghi âm mới.

Các phương pháp bảo mật chung như cập nhật phần mềm và sử dụng xác thực hai yếu tố có thể giúp ngăn chặn tin tặc, nhưng thực sự không hiệu quả với Pegasus.

Công ty cho biết trên trang web của mình: "NSO Group chỉ cấp phép sản phẩm cho các cơ quan tình báo và thực thi pháp luật của chính phủ với mục đích duy nhất là ngăn chặn và điều tra khủng bố và tội phạm nguy hiểm. Quy trình kiểm tra của chúng tôi vượt ra ngoài các yêu cầu pháp lý và quy định để đảm bảo việc sử dụng hợp pháp công nghệ của chúng tôi như đã thiết kế".

Pegasus hoạt động như thế nào và điện thoại có gặp rủi ro không?

Mô tả về cách thức Pegagus hoạt động, theo theconversation.com, từ danh sách hơn 50.000 số điện thoại, các nhà báo đã xác định được hơn 1.000 người ở 50 quốc gia được cho là đang bị giám sát bởi phần mềm gián điệp Pegasus.

Không có gì đặc biệt phức tạp về cách phần mềm gián điệp Pegasus lây nhiễm vào điện thoại của nạn nhân. Vụ tấn công ban đầu liên quan đến một tin nhắn SMS hoặc iMessage được tạo thủ công cung cấp một liên kết đến một trang web. Nếu người dùng nhấp vào, liên kết này sẽ khiến thiết bị bị lây nhiễm phần mềm độc hại. Mục đích là giành toàn quyền kiểm soát hệ điều hành của thiết bị di động, bằng cách root (trên thiết bị Android) hoặc bẻ khóa (trên thiết bị iOS của Apple).

Thông thường, người dùng thực hiện root trên thiết bị Android để cài đặt các ứng dụng và trò chơi từ các cửa hàng ứng dụng không được hỗ trợ hoặc kích hoạt lại một chức năng đã bị nhà sản xuất vô hiệu hóa.

Tương tự, một bản bẻ khóa có thể được triển khai trên các thiết bị của Apple để cho phép cài đặt các ứng dụng không có sẵn trên Apple App Store hoặc để mở khóa điện thoại để sử dụng trên các mạng di động thay thế. Nhiều phương pháp bẻ khóa yêu cầu điện thoại phải được kết nối với máy tính mỗi khi bật điện thoại (được gọi là "bẻ khóa qua dây nối").

Root và bẻ khóa đều loại bỏ các kiểm soát bảo mật được nhúng trong hệ điều hành Android hoặc iOS. Chúng thường là sự kết hợp của các thay đổi cấu hình và "hack" các thành phần cốt lõi của hệ điều hành để chạy mã đã sửa đổi.

Trong trường hợp phần mềm gián điệp, sau khi thiết bị được mở khóa, tin tặc có thể triển khai thêm phần mềm để bảo mật quyền truy cập từ xa vào dữ liệu và chức năng của thiết bị mà người dùng hoàn toàn không hề hay biết.

Hầu hết các vụ xâm phạm được báo cáo trên phương tiện truyền thông về Pegasus đều liên quan đến các thiết bị Apple. Phần mềm gián điệp cũng lây nhiễm sang các thiết bị Android, nhưng không hiệu quả vì nó dựa vào kỹ thuật root không đáng tin cậy 100%. Khi nỗ lực lây nhiễm ban đầu không thành công, phần mềm gián điệp được cho là sẽ nhắc người dùng cấp các quyền liên quan để có thể được triển khai một cách hiệu quả.

Các thiết bị của Apple thường được coi là an toàn hơn các thiết bị Android. Apple áp dụng mức độ kiểm soát cao đối với mã của hệ điều hành cũng như các ứng dụng được cung cấp thông qua cửa hàng ứng dụng của họ. Điều này tạo ra một hệ thống khép kín thường được gọi là "bảo mật bằng cách che khuất" (security by obscurity). Apple cũng kiểm soát hoàn toàn thời điểm các bản cập nhật được tung ra, sau đó được người dùng nhanh chóng chấp nhận. Các thiết bị của Apple thường xuyên được cập nhật phiên bản iOS mới nhất thông qua cài đặt bản vá lỗi tự động. 

Mặt khác, các thiết bị Android dựa trên khái niệm mã nguồn mở, vì vậy các nhà sản xuất phần cứng có thể điều chỉnh hệ điều hành để thêm các tính năng bổ sung hoặc tối ưu hóa hiệu suất. Một số lượng lớn thiết bị Android được cho là chạy nhiều phiên bản khác nhau, dẫn đến một số thiết bị chưa được vá lỗi và không an toàn (điều này có lợi cho tội phạm mạng).

Tuy nhiên, cả hai nền tảng đều có thể bị xâm phạm. 

NSO Group là ai?

NSO Group là một công ty có trụ sở tại Israel cấp phép phần mềm giám sát cho các cơ quan chính phủ. Công ty cho biết phần mềm Pegasus của họ cung cấp một dịch vụ có giá trị đó là công nghệ mã hóa. Phần mềm chạy bí mật trên điện thoại thông minh. Giám đốc điều hành Shalev Hulio đồng sáng lập công ty vào năm 2010.

Công ty cũng cung cấp các công cụ khác để xác định vị trí điện thoại đang được sử dụng, bảo vệ chống lại máy bay không người lái và khai thác dữ liệu thực thi pháp luật để phát hiện các mẫu.

NSO Group đã bị cáo buộc liên quan tới các vụ hack khác, bao gồm cả vụ hack được báo cáo từ những người sáng lập ra Amazon Jeff Bezos vào năm 2018.

Làm cách nào để biết có đang bị theo dõi và cách thức bảo vệ

Bản chất của phần mềm gián điệp là tính bí mật và không bị phát hiện trên một thiết bị. Vậy có cơ chế nào để biết liệu thiết bị của bạn có bị xâm phạm hay không?

Cách (tương đối) dễ dàng để xác định điều này là sử dụng bộ công cụ xác minh di động của Tổ chức Ân xá Quốc tế (MVT). Công cụ này có thể chạy trong Linux hoặc MacOS và có thể kiểm tra các tệp và cấu hình của thiết bị di động của bạn bằng cách phân tích một bản sao lưu được lấy từ điện thoại.

Mặc dù phân tích sẽ không xác nhận hoặc bác bỏ việc liệu một thiết bị có bị xâm phạm hay không, nhưng nó sẽ phát hiện "các dấu hiệu của sự xâm phạm" và có thể cung cấp bằng chứng về sự lây nhiễm.

Đặc biệt, công cụ này có thể phát hiện sự hiện diện của phần mềm (quy trình) cụ thể đang chạy trên thiết bị, cũng như một loạt các miền được sử dụng như một phần của cơ sở hạ tầng toàn cầu hỗ trợ mạng phần mềm gián điệp.

Các khuyến nghị

Mặc dù không phải ai cũng có khả năng trở thành mục tiêu của kiểu tấn công này, nhưng bạn có thể thực hiện các bước đơn giản sau để giảm thiểu khả năng bị lây nhiễm - không chỉ đối với Pegasus mà còn đối với các cuộc tấn công độc hại khác.

Theo thông tin được đăng tải trên theconversation.com, người dùng được khuyến nghị chỉ mở các liên kết từ các nguồn và địa chỉ liên hệ  tin cậy, đã biết khi sử dụng thiết bị của bạn. Pegasus được triển khai cho các thiết bị của Apple thông qua liên kết iMessage. Và đây cũng là kỹ thuật được nhiều tội phạm mạng sử dụng cho cả việc phân phối phần mềm độc hại và các trò gian lận kỹ thuật ít hơn. Lời khuyên tương tự cũng áp dụng cho các liên kết được gửi qua email hoặc các ứng dụng nhắn tin khác.

Ngoài ra, người dùng cần đảm bảo thiết bị được cập nhật bản vá và nâng cấp mới nhất. Nếu bạn sử dụng Android, đừng dựa vào thông báo cho các phiên bản mới của hệ điều hành. Hãy tự mình kiểm tra phiên bản mới nhất vì nhà sản xuất thiết bị của bạn có thể không cung cấp các bản cập nhật.

Bên cạnh đó, bạn nên hạn chế truy cập vật lý vào điện thoại của mình. Thực hiện việc này bằng cách bật khóa pin, ngón tay hoặc khóa bằng khuôn mặt trên thiết bị. Trang web của esafety.gov.au có nhiều video giới thiệu cách cấu hình thiết bị của bạn một cách an toàn.

Người dùng cần tránh sử dụng các dịch vụ WiFi công cộng và miễn phí (bao gồm cả khách sạn), đặc biệt khi truy cập thông tin nhạy cảm. Việc sử dụng VPN là một giải pháp tốt khi bạn cần sử dụng các mạng như vậy.

Cuối cùng là cần mã hóa dữ liệu thiết bị của bạn và bật các tính năng xóa từ xa nếu có. Khi thiết bị của bạn bị mất hoặc bị đánh cắp, bạn sẽ có thể đảm bảo rằng dữ liệu của bạn vẫn an toàn./