Hail the Judge
Ta chơi xong không trả tiền, vậy đâu có gọi là bán
Theo Bloomberg, chiến dịch hack iPhone nhắm vào Iran diễn ra trong nửa đầu năm 2025, trước khi xung đột Israel-Iran bùng nổ. Hơn một chục cá nhân bao gồm nhân viên chính phủ, nhà hoạt động nhân quyền, nhân viên công nghệ,... đã bị nhắm đến bằng các công cụ gián điệp tiên tiến. Tổ chức nhân quyền Miaan Group tại Texas cho biết họ chỉ phát hiện được “một phần nhỏ” của tổng số mục tiêu, ám chỉ quy mô chiến dịch có thể rất lớn. Hamid Kashfi, nhà nghiên cứu bảo mật tại DarkCell (Thụy Điển), nhận định các cuộc tấn công sử dụng loại lỗ hổng zero-day zero-click exploits chưa từng được phát hiện, cho phép tin tặc xâm nhập iPhone mà không cần người dùng nhấp vào bất kỳ liên kết nào.
Các cuộc tấn công này được so sánh với phần mềm gián điệp khét tiếng Pegasus của NSO Group (Israel), vốn từng được sử dụng để theo dõi nhà báo, nhà hoạt động, chính trị gia trên toàn cầu. Theo Apple, các công cụ gián điệp này có chi phí phát triển “hàng triệu đô la” và thuộc nhóm “mối đe dọa số tiên tiến nhất hiện nay”. Tuy nhiên, việc điều tra gặp khó khăn do nhiều nạn nhân ở Iran không thể thực hiện phân tích pháp y (forensic investigation) độc lập, một số còn giao thiết bị cho chính phủ Iran thay vì các chuyên gia bên ngoài. Điều này làm gia tăng bí ẩn về quy mô và mục tiêu thực sự của chiến dịch.
Danh tính thủ phạm là câu hỏi lớn nhất nhưng mọi thứ không hề đơn giản. Việc một số nạn nhân là nhân viên chính phủ Iran gợi ý rằng Israel hoặc Mỹ, hoặc cả hai, có thể đứng sau chiến dịch, đặc biệt khi nhớ đến loại mã độc tinh vi Stuxnet do Mỹ và Israel phát triển để tấn công chương trình hạt nhân Iran. Tuy nhiên, việc các nhà bất đồng chính kiến Iran cũng bị nhắm đến lại khiến người ta nghi ngờ chính phủ Iran vốn nổi tiếng với các nhóm tin tặc liên kết như MuddyWater. Theo Lookout, chỉ 1 tuần sau khi xung đột Israel-Iran bắt đầu, MuddyWater đã triển khai mã độc Android DCHSpy có khả năng trích xuất dữ liệu từ WhatsApp và các tệp quan trọng.
Sự không rõ ràng này phản ánh tính phức tạp của chiến tranh mạng, nơi các quốc gia và nhóm gián điệp sử dụng công nghệ để đạt mục tiêu địa chính trị. Bloomberg lưu ý rằng chiến dịch hack iPhone này có thể liên quan đến các tổ chức gián điệp thuê ngoài tương tự NSO Group hay QuaDream (một công ty Israel khác từng khai thác lỗ hổng tương tự Pegasus vào năm 2021). Dù thủ phạm là ai, mức độ tinh vi của zero-day zero-click exploits cho thấy đây là chiến dịch có nguồn lực mạnh, có thể liên quan đến các cơ quan tình báo quốc gia.
Ra mắt từ năm 2021, Apple Threat Notification Program đóng vai trò quan trọng trong việc bảo vệ người dùng trước các cuộc tấn công gián điệp tinh vi. Chương trình này nhắm đến các mối đe dọa “cao cấp” (high-end threats) như các cuộc tấn công nhắm vào nhà báo, nhà hoạt động, hoặc quan chức chính phủ vì danh tính hoặc công việc của họ thay vì mã độc thông thường. Apple đã gửi cảnh báo đến người dùng tại hơn 150 quốc gia, hơn một chục người Iran nhận được thông báo trong nửa đầu năm 2025. Theo tài liệu hỗ trợ của Apple, khi phát hiện mối đe dọa, công ty sẽ gửi email và tin nhắn đến người dùng, đồng thời yêu cầu họ đăng nhập vào tài khoản Apple để xác minh tính xác thực của cảnh báo, tránh bị lừa bởi các tin tặc giả mạo.
Apple khuyến khích người dùng cập nhật thiết bị ngay lập tức, sử dụng mật khẩu mạnh, liên hệ chuyên gia bảo mật nếu nhận cảnh báo. Tuy nhiên, Bloomberg chỉ ra nhiều nạn nhân Iran không tìm đến chuyên gia độc lập, một phần do hạn chế về địa lý, làm cản trở việc điều tra đầy đủ. Apple không công khai danh tính thủ phạm trong các cảnh báo, chỉ nhấn mạnh rằng các cuộc tấn công này “nhắm vào bạn vì bạn là ai hoặc bạn làm gì”. Điều này giúp bảo vệ người dùng mà không làm leo thang căng thẳng địa chính trị.
Các cuộc tấn công này được so sánh với phần mềm gián điệp khét tiếng Pegasus của NSO Group (Israel), vốn từng được sử dụng để theo dõi nhà báo, nhà hoạt động, chính trị gia trên toàn cầu. Theo Apple, các công cụ gián điệp này có chi phí phát triển “hàng triệu đô la” và thuộc nhóm “mối đe dọa số tiên tiến nhất hiện nay”. Tuy nhiên, việc điều tra gặp khó khăn do nhiều nạn nhân ở Iran không thể thực hiện phân tích pháp y (forensic investigation) độc lập, một số còn giao thiết bị cho chính phủ Iran thay vì các chuyên gia bên ngoài. Điều này làm gia tăng bí ẩn về quy mô và mục tiêu thực sự của chiến dịch.
Danh tính thủ phạm là câu hỏi lớn nhất nhưng mọi thứ không hề đơn giản. Việc một số nạn nhân là nhân viên chính phủ Iran gợi ý rằng Israel hoặc Mỹ, hoặc cả hai, có thể đứng sau chiến dịch, đặc biệt khi nhớ đến loại mã độc tinh vi Stuxnet do Mỹ và Israel phát triển để tấn công chương trình hạt nhân Iran. Tuy nhiên, việc các nhà bất đồng chính kiến Iran cũng bị nhắm đến lại khiến người ta nghi ngờ chính phủ Iran vốn nổi tiếng với các nhóm tin tặc liên kết như MuddyWater. Theo Lookout, chỉ 1 tuần sau khi xung đột Israel-Iran bắt đầu, MuddyWater đã triển khai mã độc Android DCHSpy có khả năng trích xuất dữ liệu từ WhatsApp và các tệp quan trọng.
Sự không rõ ràng này phản ánh tính phức tạp của chiến tranh mạng, nơi các quốc gia và nhóm gián điệp sử dụng công nghệ để đạt mục tiêu địa chính trị. Bloomberg lưu ý rằng chiến dịch hack iPhone này có thể liên quan đến các tổ chức gián điệp thuê ngoài tương tự NSO Group hay QuaDream (một công ty Israel khác từng khai thác lỗ hổng tương tự Pegasus vào năm 2021). Dù thủ phạm là ai, mức độ tinh vi của zero-day zero-click exploits cho thấy đây là chiến dịch có nguồn lực mạnh, có thể liên quan đến các cơ quan tình báo quốc gia.
Ra mắt từ năm 2021, Apple Threat Notification Program đóng vai trò quan trọng trong việc bảo vệ người dùng trước các cuộc tấn công gián điệp tinh vi. Chương trình này nhắm đến các mối đe dọa “cao cấp” (high-end threats) như các cuộc tấn công nhắm vào nhà báo, nhà hoạt động, hoặc quan chức chính phủ vì danh tính hoặc công việc của họ thay vì mã độc thông thường. Apple đã gửi cảnh báo đến người dùng tại hơn 150 quốc gia, hơn một chục người Iran nhận được thông báo trong nửa đầu năm 2025. Theo tài liệu hỗ trợ của Apple, khi phát hiện mối đe dọa, công ty sẽ gửi email và tin nhắn đến người dùng, đồng thời yêu cầu họ đăng nhập vào tài khoản Apple để xác minh tính xác thực của cảnh báo, tránh bị lừa bởi các tin tặc giả mạo.
Apple khuyến khích người dùng cập nhật thiết bị ngay lập tức, sử dụng mật khẩu mạnh, liên hệ chuyên gia bảo mật nếu nhận cảnh báo. Tuy nhiên, Bloomberg chỉ ra nhiều nạn nhân Iran không tìm đến chuyên gia độc lập, một phần do hạn chế về địa lý, làm cản trở việc điều tra đầy đủ. Apple không công khai danh tính thủ phạm trong các cảnh báo, chỉ nhấn mạnh rằng các cuộc tấn công này “nhắm vào bạn vì bạn là ai hoặc bạn làm gì”. Điều này giúp bảo vệ người dùng mà không làm leo thang căng thẳng địa chính trị.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview