Nhóm hacker thuê bị phát hiện tấn công Android và iCloud bằng spyware

Các nhà nghiên cứu bảo mật cho biết họ đã xác định được một nhóm hacker thuê đang nhắm mục tiêu vào các nhà báo, nhà hoạt động và quan chức chính phủ trên khắp Trung Đông và Bắc Phi. Những kẻ tấn công này sử dụng các cuộc tấn công lừa đảo (phishing) để truy cập vào bản sao lưu iCloud và tài khoản nhắn tin Signal, đồng thời triển khai phần mềm gián điệp Android có khả năng chiếm quyền kiểm soát thiết bị của nạn nhân.

Chiến dịch hacker này làm nổi bật xu hướng ngày càng tăng của các cơ quan chính phủ thuê ngoài các hoạt động tấn công mạng cho các công ty hacker thuê tư nhân. Một số chính phủ đã dựa vào các công ty thương mại phát triển phần mềm gián điệp và khai thác lỗ hổng mà cảnh sát và cơ quan tình báo sử dụng để truy cập dữ liệu trên điện thoại của mọi người.

Chi tiết điều tra

Các nhà nghiên cứu từ tổ chức quyền kỹ thuật số Access Now đã ghi nhận ba trường hợp bị tấn công trong giai đoạn 2023 đến 2025 nhắm vào hai nhà báo Ai Cập và một nhà báo tại Liban. Công ty an ninh mạng di động Lookout cũng đã điều tra các cuộc tấn công này. Cả ba tổ chức đã hợp tác và công bố các báo cáo riêng biệt vào thứ Tư vừa qua.

Theo Lookout, các cuộc tấn công không chỉ giới hạn ở các thành viên của xã hội dân sự Ai Cập và Liban, mà còn bao gồm các mục tiêu trong chính phủ Bahrain và Ai Cập, cũng như các mục tiêu tại Các Tiểu vương quốc Ả Rập Thống nhất (UAE), Ả Rập Xê Út, Vương quốc Anh, và có thể là Hoa Kỳ hoặc cựu sinh viên của các trường đại học Mỹ.

Lookout kết luận rằng những kẻ đứng sau chiến dịch hacker này làm việc cho một nhà cung cấp dịch vụ hacker thuê mà các nhà nghiên cứu của họ đặt mã danh là BITTER. Các công ty an ninh mạng điều tra nghi ngờ nhóm này có mối liên hệ với chính phủ Ấn Độ.

Justin Albrecht, nhà nghiên cứu chính tại Lookout, cho biết công ty đứng sau BITTER có thể tên là RebSec Solutions và có thể là một chi nhánh của startup hacker thuê Ấn Độ Appin. Vào năm 2022 và 2023, Reuters đã công bố các cuộc điều tra sâu rộng về Appin và các công ty tương tự khác tại Ấn Độ, phơi bày cách các công ty này bị cáo buộc được thuê để hack các giám đốc điều hành, chính trị gia, quan chức quân sự và những người khác.

Appin dường như đã đóng cửa sau đó, nhưng Albrecht lưu ý rằng việc phát hiện ra chiến dịch hacker mới này cho thấy hoạt động này "không biến mất và họ chỉ chuyển sang các công ty nhỏ hơn".

Chiến thuật kỹ thuật

Các nhóm này và khách hàng của họ có được "sự phủ nhận hợp lý vì họ vận hành tất cả các hoạt động và cơ sở hạ tầng". Và đối với khách hàng của họ, các nhóm hacker thuê này có khả năng rẻ hơn so với việc mua phần mềm gián điệp thương mại.

Trong các cuộc tấn công thuộc chiến dịch này, tin tặc đã sử dụng một số kỹ thuật khác nhau:

• Đối với người dùng iPhone: Tin tặc cố gắng lừa nạn nhân cung cấp thông tin đăng nhập Apple ID của họ để sau đó hack vào bản sao lưu iCloud. Điều này thực sự sẽ cho phép họ truy cập vào toàn bộ nội dung của iPhone của mục tiêu. Access Now nhận định đây là "một giải pháp thay thế rẻ hơn so với việc sử dụng phần mềm gián điệp iOS tinh vi và đắt đỏ hơn".
• Đối với người dùng Android: Tin tặc đã sử dụng một phần mềm gián điệp gọi là ProSpy, ngụy trang dưới dạng các ứng dụng nhắn tin và liên lạc phổ biến như Signal, WhatsApp và Zoom, cũng như ToTok và Botim - hai ứng dụng phổ biến ở Trung Đông.

Trong một số trường hợp, tin tặc đã cố gắng lừa nạn nhân đăng ký và thêm một thiết bị mới — do tin tặc kiểm soát — vào tài khoản Signal của họ. Đây là một kỹ thuật đã trở nên phổ biến trong số các nhóm hacker khác nhau, bao gồm cả các điệp viên Nga.

Mohammed Al-Maskati, điều tra viên tại Đường dây nóng An ninh Kỹ thuật số của Access Now, người đã làm việc trên các vụ việc này, cho biết: "các hoạt động này đã trở nên rẻ hơn và có thể tránh được trách nhiệm giải trình, đặc biệt là vì chúng ta sẽ không biết ai là khách hàng cuối cùng, và cơ sở hạ tầng sẽ không tiết lộ thực thể đứng sau nó".

Mặc dù các nhóm như BITTER có thể không sở hữu các công cụ hacker và gián điệp tiên tiến nhất, nhưng các chiến thuật của chúng vẫn có thể cực kỳ hiệu quả.