Với tên gọi Operation Triangulation, chiến dịch này phát tán các khai thác không cần nhấp (zero-click) qua iMessage để chạy phần mềm độc hại giành quyền kiểm soát hoàn toàn đối với thiết bị và dữ liệu người dùng, với mục tiêu cuối cùng là bí mật theo dõi người dùng.

Các chuyên gia của Kaspersky đã phát hiện chiến dịch APT này khi theo dõi lưu lượng mạng của Wi-Fi của đơn vị bằng Nền tảng phân tích và giám sát hợp nhất của Kaspersky (Kaspersky Unified Monitoring and Analysis Platform - KUMA). Sau khi phân tích sâu hơn, các nhà nghiên cứu phát hiện tác nhân đe dọa đã nhắm mục tiêu vào thiết bị iOS của hàng chục nhân viên công ty.

Theo đó, nạn nhân nhận được một tin nhắn qua iMessage với tệp đính kèm chứa khai thác zero-click. Không cần sự tương tác từ nạn nhân, tin nhắn kích hoạt một lỗ hổng dẫn đến việc thực thi mã để leo thang đặc quyền và cung cấp toàn quyền kiểm soát thiết bị bị lây nhiễm. Sau khi kẻ tấn công thiết lập thành công sự hiện diện của chúng trên thiết bị, tin nhắn sẽ tự động bị xóa.

Không dừng lại ở đó, phần mềm gián điệp lặng lẽ truyền thông tin cá nhân đến các máy chủ từ xa, bao gồm bản ghi âm, ảnh từ ứng dụng nhắn tin nhanh, định vị địa lý và dữ liệu về một số hoạt động khác của chủ sở hữu thiết bị bị nhiễm.

Kaspersky là công ty đầu tiên phát hiện ra tấn công này, nhưng có thể sẽ không là mục tiêu duy nhất. Theo nhận định của một chuyên gia an ninh cấp cao của họ, mục tiêu của việc tấn công APT này có thể nằm ngoài đơn vị, có thể nhắm đến các tổ chức, doanh nghiệp, cá nhân sử dụng thiết bị iOS.

Do đó, để tránh trở thành nạn nhân của tấn công có chủ đích bởi những tác nhân đã biết hoặc chưa biết, người dùng cần cập nhật các hệ điều hành và phần mềm của bên thứ ba càng sớm càng tốt, và việc này cần thực hiện thường xuyên; sử dụng các giải pháp bảo mật đáng tin cậy như KUMA; tăng cường các đào tạo về nhận thức bảo mật và hướng dẫn các kỹ năng cần thiết cho nhân viên công ty, nhóm an ninh mạng…