Hai nhóm tin tặc được cho là từ Triều Tiên đã khai thác lỗ hổng trên trình duyệt Chrome trong thời gian dài trước khi Google có thể khắc phục sự cố.
Google vừa xác nhận đã vá thành công lỗ hổng bảo mật nghiêm trọng trên trình duyệt Chrome từng bị Operation Dream Job (ODP) và Operation AppleJeus (OAJ) khai thác. Cả hai đều được cho là có nguồn gốc từ Triều Tiên và bị nghi vấn có liên quan tới chính phủ, theo TechRadar.
Hai nhóm tin tặc được cho từ Triều Tiên khai khác cùng một lỗ hổng trên Chrome |
Trong thông báo chính thức, Adam Weidermann - chuyên gia tại Bộ phận Phân tích Mối đe dọa của Google cho biết lỗ hổng cho phép các tác nhân khả nghi theo dõi người dùng và tiềm ẩn nguy cơ đoạt quyền kiểm soát thiết bị. Lỗi bảo mật này đã bị hai nhóm tin tặc nói trên khai thác từ tháng 1.2022.
Theo đại diện Google, cả hai nhóm tin tặc đều khai thác cùng một lỗi nhưng cách tiếp cận cũng như mục tiêu chúng nhắm tới khác nhau. Trong khi đối tượng của ODP là các cá nhân nắm vai trò quan trọng ở các tổ chức, nhà cung cấp dịch vụ máy chủ, đơn vị kinh doanh phần mềm thì OAJ chọn "con mồi" trong lĩnh vực tiền mã hóa cũng như doanh nghiệp Fintech (tài chính công nghệ).
Về phương thức thực hiện cũng khác nhau. Một nhóm giả danh nhà tuyển dụng, gửi thư mời ứng tuyển vào các vị trí làm việc tại Google, Oracle hay Disney, đính kèm đường link dẫn tới các website giả mạo địa chỉ tuyển dụng của hãng. Thực tế, các web này chứa đầy khung nội tuyến (iframe) ẩn giúp khai thác lỗ hổng và cho phép thực thi mã điều khiển từ xa.
Nhóm còn lại cũng tạo ra website giả mạo nhưng tiến hành "xâm chiếm" trang chính thống, đồng thời tự cài đặt các iframe đã được chỉnh sửa để phục vụ mục đích phi pháp.
Các nhà nghiên cứu phải thừa nhận hai nhóm tin tặc này giỏi che đậy các dấu vết sau khi hoàn thành mục đích. Nếu chúng thực thi thành công mã chiếm quyền điều khiển, bước tiếp theo là lấy các quyền quản trị cao hơn ở mục tiêu cuối, sau đó tiến hành xóa bỏ mọi dấu vết của sự xâm nhập.
Phía Google cho biết những kẻ tấn công triển khai chiến dịch theo khung giờ nhất định, và mỗi nạn nhân nhận một đường link khác nhau, hết hạn ngay sau khi được kích hoạt. Mỗi bước của cuộc tấn công đều dùng thuật toán AES để mã hóa. Đặc biệt hơn, nếu bất kỳ một trong các bước triển khai thất bại sẽ chấm dứt toàn bộ quá trình chiếm quyền.
Google đã thông báo triển khai bản vá lỗi chặn đứng hành vi khai thác của hai nhóm tin tặc này, đồng thời nâng cấp Chrome lên phiên bản 100.0.4898.127 đối với 3 hệ điều hành gồm macOS, Windows và Linux. Người dùng đã có thể kiểm tra bản cập nhật trong phần Settings (Cài đặt) > About Chrome (Về Chrome) khi bấm vào biểu tượng 3 chấm dọc ở góc trên cùng bên phải màn hình trình duyệt đang mở.
Anh Quân - Theo Thanh Niên