ANM 22/7: Điện thoại của Tổng thống Pháp bị phần mềm gián điệp Israel theo dõi nhiều năm liền
Ngày 21/7, Đại sứ quán Cuba tại Hà Nội cho biết, các thế lực thù địch từ bên ngoài lãnh thổ nước này đã tiến hành một chiến dịch quy mô lớn ngụy tạo tin tức và hình ảnh để nói xuyên tạc Cuba, cũng như tiến hành ngăn chặn truy cập các trang web chính thống của Cuba.
Cụ thể, ông Maiker Escalante – cán bộ phụ trách báo chí của Đại sứ quán Cuba, cho biết, đối phương đã sử dụng hình ảnh ở các nơi khác như Ai Cập năm 2011, Nam Phi, Puerto Rico, hay Nicaragua năm 2018, Barcelona (Tây Ban Nha) năm 2019… để giả tạo hình ảnh về những gì vừa diễn ra ở Cuba. Các hình ảnh được lắp ghép để xuyên tạc rằng cảnh sát Cuba đàn áp, đánh đập người biểu tình gây ra thương vong. Bên cạnh đó, phía đối nghịch với chế độ Cuba còn tổ chức tấn công mạng để ngăn chặn truy cập của người dân và cộng đồng quốc tế vào các trang chính thức của nhà nước và các tổ chức chính trị Cuba, như Văn phòng Chủ tịch nước Cuba, Báo Granma, Viện Phát thanh-Truyền hình Cuba, Đảng Cộng sản Cuba, Bộ Ngoại giao Cuba…
Liên quan đến vụ việc phần mềm gián điệp Pegasus – do công ty NSO Group (Israel) phát triển – được sử dụng để do thám quan chức Pháp, ngày 21/7, Tổ chức báo chí phi lợi nhuận Forbidden Stories (Pháp) cho biết Tổng thống Pháp Emmanuel Macron và một số quan chức chính phủ nước này là một trong các mục tiêu bị theo dõi. Cụ thể, số điện thoại được Tổng thống Macron sử dụng thường xuyên từ năm 2017 nằm trong danh sách mục tiêu của tình báo Maroc. Cựu Thủ tướng Pháp Edouard Philippe và 14 Bộ trưởng khác cũng từng bị nhắm mục tiêu vào năm 2019. Phản ứng trước thông tin này, Thủ tướng Pháp Jean Castex cho biết, điện Elysée đã ra lệnh tiến hành một loạt các cuộc điều tra sau khi tuyên bố sẽ làm sáng tỏ tất cả các tiết lộ. Trong khi đó, Chaim Gelfand, Giám sát trưởng tại NSO Group, khẳng định một cách chắc chắn rằng Tổng thống Macron không phải là mục tiêu của phần mềm của hãng. Trước đó, Maroc đã lên tiếng phủ nhận việc sử dụng Pegasus.
Sau khi vụ việc bị tố cáo, Israel đã thành lập một nhóm liên bộ cấp cao để đánh giá các cáo buộc ngày càng tăng về việc phần mềm gián điệp Pegasus được bán bởi một công ty nước này bị lạm dụng trên phạm vi toàn cầu. Một nguồn tin cho biết, nhóm này được lãnh đạo bởi Hội đồng An ninh Quốc gia Israel – cơ quan báo cáo cho Thủ tướng Naftali Bennett và có nhiều lĩnh vực chuyên môn hơn so với Bộ Quốc phòng, cơ quan giám sát việc xuất khẩu phần mềm của NSO Group. Trong khi đó, một nguồn tin khác lại khẳng định, Hội đồng An ninh Quốc gia Israel không tham gia vào nhóm này và việc đánh giá sẽ được tiến hành bởi các quan chức quốc phòng, tình báo và ngoại giao cấp cao.
Cùng ngày, Thủ tướng Naftali Bennett cũng cho biết nước này đang thiết lập một “lá chắn mạng toàn cầu” trong đó các chính phủ đối tác sẽ hợp tác trong thời gian thực để xác định các cuộc tấn công mạng, nâng cao nhận thức và cùng nhau phát triển các giải pháp. Ông Bennett cho biết đây sẽ là một mạng lưới phòng thủ toàn cầu trực tuyến, thời gian thực, đồng thời kêu gọi các quốc gia cùng chung chí hướng tham gia vào mạng lưới này. Khi đối mặt với các mối đe dọa mạng, mạng lưới này sẽ cảnh báo, điều tra và cùng nhau phát triển “vaccine mạng” và phân phát “vaccine mạng” cho các quốc gia trong mạng lưới.
Sau vụ án chấn động liên quan đến Pegasus, Cơ quan giám sát an ninh mạng Pháp ANSSI cũng cho biết đang xử lý một chiến dịch tấn công mạng lớn nhắm vào các thực thể của Pháp do nhóm tin tặc Trung Quốc APT31 tiến hành. Theo thông tin từ cuộc điều tra của ANSSI, tin tặc đã sử dụng một mạng lưới các bộ định tuyến gia đình đã bị tấn công làm các hộp chuyển tiếp hoạt động để thực hiện hoạt động trinh sát cũng như tiến hành các cuộc tấn công.
Trong một diễn biến khác, Cơ quan An ninh mạng và An ninh Cơ sở Hạ tầng Mỹ (CISA) cảnh báo đã phát hiện 13 mẫu mã độc tấn công các thiết bị Pulse Secure và phần lớn không bị phát hiện bởi các phần mềm diệt virus. Hầu hết các tập tin độc hại mà CISA phát hiện và phân tích là các webshell được sử dụng để kích hoạt và chạy các lệnh từ xa nhằm duy trì quyền truy cập lâu dài. Trong một số trường hợp, kẻ tấn công đã sửa đổi các tập tin Pulse Secure hợp pháp thành các webshell để sử dụng cho mục đích độc hại. Bên cạnh đó, tin tặc còn sử dụng công cụ Linux – HINBLOOD Log Wiper, được ngụy trang thành “dsclslog”, để xóa các tập tin nhật ký sự kiện và truy cập. Hầu hết các tập tin mà CISA phát hiện trên các thiết bị Pulse Secure bị tấn công đều không bị phát hiện bởi các phần mềm diệt virus. Chỉ một trong số này hiện diện trên nền tảng VirusTotal và được một công cụ diệt virus phát hiện là biến thể của webshell ATRIUM.
Trong một diễn biến khác liên quan đến kho ứng dụng Google Play, các nhà nghiên cứu bảo mật tại Zscaler cho biết đã phát hiện 11 ứng dụng thường xuyên được tải lên Google Play có chứa mã độc Joker – chuyên nhắm mục tiêu vào các thiết bị Android, có khả năng theo dõi nạn nhân, đánh cắp thông tin, thu thập danh sách liên lạc và theo dõi tin nhắn SMS. Những kẻ khai thác Joker thường xuyên thay đổi các phương pháp để vượt qua cơ chế bảo mật và quy trình kiểm tra của Google Play như thay đổi mã, phương pháp thực thi và kỹ thuật lấy payload. Lần này, chúng sử dụng các dịch vụ rút gọn URL để ẩn các URL dịch vụ đám mây chứa payload giai đoạn tiếp theo. Đáng chú ý, một số ứng dụng độc hại sau khi được cài đặt còn kiểm tra xem liệu trên máy nạn nhân có sự hiện diện của một số ứng dụng nhất định hay không. Nếu phát hiện các ứng dụng này, cũng có sẵn trên Google Play, mã độc sẽ không triển khai thêm payload. Các nhà nghiên cứu cho rằng đây cũng là các ứng dụng có liên quan đến Joker và được sử dụng để đánh giá thiết bị bị lây nhiễm. Hiện tại, Google đã xóa bỏ 11 ứng dụng chứa Joker ra khỏi Google Play.
Trần Anh