Theo thông tin cho biết, các tin nhắn đã được gửi đi mà không cần sự tương tác của người dùng. Điều này cho phép kẻ tấn công tải phần mềm độc hại xuống từ máy chủ của họ. Sau đó, các tin nhắn và tệp đính kèm sẽ tự động xóa khỏi iPhone của nạn nhân, trong khi phần mềm độc hại này vẫn còn tồn tại và được chạy với quyền root để thu thập thông tin của người dùng.
Theo nguồn tin từ Kaspersky, đã phát hiện ra một chiến dịch chống lại những cuộc tấn công đến từ Mỹ. Chiến dịch này đã bắt đầu từ năm 2019 và vẫn đang diễn ra. Công ty an ninh mạng đã đặt tên cho chiến dịch này là “Operation Triangulation” và kêu gọi những người có thông tin về nó để cùng nhau chia sẻ.
Kaspersky đã sử dụng công cụ Mobile Verification Toolkit để tạo sao lưu hệ thống của những chiếc iPhone bị nhiễm virus. Điều này giúp khôi phục lại các thông tin về quá trình tấn công và chức năng của phần mềm độc hại được cài đặt trên thiết bị.
Phần mềm độc hại đã cố gắng xóa mọi dấu vết của cuộc tấn công trên các thiết bị. Tuy nhiên, nó vẫn để lại những dấu hiệu cho thấy thiết bị đã bị nhiễm virus. Ví dụ như sửa đổi tệp tin hệ thống để ngăn cản việc cài đặt các bản cập nhật iOS, việc sử dụng dữ liệu không bình thường và việc thêm vào các thư viện lỗi thời.
Kaspersky đã phân tích thêm về dấu hiệu đầu tiên của quá trình nhiễm virus đã xảy ra vào năm 2019. Phiên bản iOS 15.7 cũng đã bị nhiễm bởi cuộc tấn công này. Tuy nhiên, phiên bản iOS 16.5 được cho là đã khắc phục lỗ hổng này trước khi cuộc tấn công độc hại xảy ra.
Công ty an ninh mạng đã cung cấp danh sách 15 tên miền liên quan đến hoạt động độc hại này. Quản trị viên bảo mật có thể sử dụng danh sách này để kiểm tra lịch sử nhật ký DNS và tìm kiếm dấu hiệu tiềm năng của việc khai thác trên các thiết bị của họ.
Sau khi tăng cường quyền root, phần mềm độc hại đã tải xuống một bộ công cụ đầy đủ tính năng để thực thi các lệnh thu thập thông tin hệ thống và người dùng, và tải xuống các mô-đun bổ sung từ C2. Tuy nhiên, Kaspersky cũng lưu ý rằng công cụ APT được cài đặt trên thiết bị sẽ không có cơ chế duy trì, do đó nếu khởi động lại thiết bị, công cụ này sẽ ngừng hoạt động. Hiện tại, những thông tin chi tiết về chức năng của phần mềm độc hại chưa được tiết lộ hoàn toàn.
Theo báo cáo của Kaspersky, FSB đã phát hiện được các thiết bị iPhone của hàng ngàn quan chức trong chính phủ Nga và nhân viên từ các đại sứ quán của Israel, Trung Quốc và một số quốc gia thành viên NATO khác tại Nga bị gặp tình trạng tương tự. Tuy nhiên, FSB không cung cấp rõ bằng chứng để chứng minh cho những khẳng định của mình.
Kaspersky đã xác nhận với BleepingComputer rằng, cuộc tấn công này gây ảnh hưởng đến trụ sở chính của họ tại Moscow và nhân viên ở các quốc gia khác. Tuy nhiên, BleepingComputer cho biết, họ không thể xác nhận mối liên hệ giữa kết quả của họ và báo cáo của FSB, vì họ không có thông tin kỹ thuật về cuộc điều tra của chính phủ.
BleepingComputer đã liên hệ với Apple để yêu cầu phản hồi về các kết quả của Kaspersky và cáo buộc từ FSB, tuy nhiên, Apple vẫn chưa có động thái gì.
