Nhóm Hack Thuê Bị Phát Hiện Nhắm Mục Tiêu Thiết Bị Android và Sao Lưu iCloud

Nhóm tin tặc "thuê ngoài" bị bắt quả tang tấn công thiết bị Android và bản sao lưu iCloud

Các nhà nghiên cứu bảo mật cho biết họ đã xác định được một nhóm tin tặc "thuê ngoài" đang nhắm mục tiêu vào các nhà báo, nhà hoạt động và quan chức chính phủ trên khắp Trung Đông và Bắc Phi. Các tin tặc đã sử dụng các cuộc tấn công lừa đảo để truy cập vào bản sao lưu iCloud và tài khoản nhắn tin trên Signal của các mục tiêu, đồng thời triển khai phần mềm gián điệp Android có khả năng chiếm quyền điều khiển thiết bị của các mục tiêu.

Chiến dịch tấn công này làm nổi bật xu hướng ngày càng tăng của các cơ quan chính phủ trong việc thuê ngoài các hoạt động tấn công của họ cho các công ty tin tặc "thuê ngoài" tư nhân. Một số chính phủ đã dựa vào các công ty thương mại phát triển phần mềm gián điệp và khai thác được sử dụng bởi cảnh sát và các cơ quan tình báo để truy cập dữ liệu trên điện thoại của mọi người.

Các nhà nghiên cứu từ tổ chức quyền kỹ thuật số Access Now đã ghi lại ba trường hợp tấn công từ năm 2023 đến năm 2025 nhằm vào hai nhà báo Ai Cập và một nhà báo ở Lebanon mà trường hợp của người này cũng được tổ chức quyền kỹ thuật số SMEX ghi lại. Công ty an ninh mạng di động Lookout cũng đã điều tra các cuộc tấn công này. Ba tổ chức đã hợp tác với nhau và công bố các báo cáo riêng biệt vào thứ Tư.

Theo Lookout, các cuộc tấn công không chỉ giới hạn ở các thành viên của xã hội dân sự Ai Cập và Lebanon, mà còn bao gồm các mục tiêu trong chính phủ Bahrain và Ai Cập, cũng như các mục tiêu ở Các Tiểu vương quốc Ả Rập Thống nhất, Ả Rập Saudi, Vương quốc Anh và có khả năng là Hoa Kỳ hoặc cựu sinh viên của các trường đại học Hoa Kỳ.

Lookout kết luận rằng các tin tặc đứng sau chiến dịch tấn công này làm việc cho một nhà cung cấp dịch vụ tin tặc "thuê ngoài" mà các nhà nghiên cứu của họ đã đặt mật danh là BITTER, và các công ty an ninh mạng điều tra nghi ngờ có mối liên hệ với chính phủ Ấn Độ.

Justin Albrecht, nhà nghiên cứu chính tại Lookout, nói với TechCrunch rằng công ty đứng sau BITTER có thể có tên là RebSec Solutions và có thể là một nhánh của công ty khởi nghiệp tin tặc "thuê ngoài" Appin của Ấn Độ. Vào năm 2022 và 2023, Reuters đã công bố các cuộc điều tra sâu rộng về Appin và các công ty tương tự khác có trụ sở tại Ấn Độ, vạch trần cách các công ty này bị cáo buộc được thuê để tấn công các giám đốc điều hành công ty, chính trị gia, quan chức quân sự và những người khác.

Appin dường như sau đó đã đóng cửa, nhưng Albrecht lưu ý rằng việc phát hiện ra chiến dịch tấn công mới này cho thấy rằng hoạt động "không biến mất và họ chỉ chuyển sang các công ty nhỏ hơn." Các nhóm này và khách hàng của họ có được "sự chối bỏ hợp lý vì họ điều hành tất cả các hoạt động và cơ sở hạ tầng." Và đối với khách hàng của họ, các nhóm tin tặc "thuê ngoài" này có khả năng rẻ hơn so với việc mua phần mềm gián điệp thương mại, Albrecht nói.

Không thể liên lạc với RebSec để đưa ra bình luận, vì công ty đã xóa các tài khoản mạng xã hội và trang web của mình.

Liên hệ với chúng tôi

Bạn có thêm thông tin về RedSec Solutions không? Hoặc các công ty tin tặc "thuê ngoài" khác?

Từ một thiết bị không phải là thiết bị làm việc, bạn có thể liên hệ với Lorenzo Franceschi-Bicchierai một cách an toàn trên Signal theo số +1 917 257 1382 hoặc qua Telegram và Keybase @lorenzofb hoặc email.

Mohammed Al-Maskati, một nhà điều tra tại Đường dây trợ giúp an ninh kỹ thuật số của Access Now, người đã làm việc trong các trường hợp này, cho biết rằng "các hoạt động này đã trở nên rẻ hơn và có thể trốn tránh trách nhiệm, đặc biệt là vì chúng ta sẽ không biết ai là khách hàng cuối cùng và cơ sở hạ tầng sẽ không tiết lộ thực thể đằng sau nó."

Mặc dù các nhóm như BITTER có thể không có các công cụ gián điệp và tấn công tiên tiến nhất, nhưng các chiến thuật của họ vẫn có thể rất hiệu quả. Trong các cuộc tấn công thuộc chiến dịch này, các tin tặc đã sử dụng một số kỹ thuật khác nhau. Khi nhắm mục tiêu vào người dùng iPhone, các tin tặc đã cố gắng đánh lừa các mục tiêu cung cấp thông tin đăng nhập Apple ID của họ để sau đó xâm nhập vào bản sao lưu iCloud của họ, điều này sẽ cho phép họ truy cập đầy đủ vào nội dung iPhone của các mục tiêu.

Theo Access Now, đây là "một giải pháp thay thế tiềm năng rẻ hơn cho việc sử dụng phần mềm gián điệp iOS tinh vi và đắt tiền hơn." Khi nhắm mục tiêu vào người dùng Android, các tin tặc đã sử dụng một phần mềm gián điệp có tên là ProSpy, ngụy trang dưới dạng các ứng dụng nhắn tin và liên lạc phổ biến như Signal, WhatsApp và Zoom, cũng như ToTok và Botim, hai ứng dụng phổ biến ở Trung Đông.

Trong một số trường hợp, các tin tặc đã cố gắng lừa các nạn nhân đăng ký và thêm một thiết bị mới - do các tin tặc kiểm soát - vào tài khoản Signal của họ, một kỹ thuật đã trở nên phổ biến trong số các nhóm tin tặc khác nhau, bao gồm cả gián điệp Nga.

Một phát ngôn viên của đại sứ quán Ấn Độ tại Washington D.C. đã không trả lời ngay lập tức yêu cầu bình luận.

Lorenzo Franceschi-Bicchierai là một nhà văn cao cấp tại TechCrunch, nơi anh đưa tin về tin tặc, an ninh mạng, giám sát và quyền riêng tư. Bạn có thể liên hệ hoặc xác minh các liên hệ từ Lorenzo bằng cách gửi email tới lorenzo@techcrunch.com, qua tin nhắn được mã hóa tại +1 917 257 1382 trên Signal và @lorenzofb trên Keybase/Telegram.