Điều gì xảy ra khi phần mềm gián điệp bắt đầu “học hỏi” như con người?

Quang Trương · 11:51

Một phần mềm gián điệp có thể học hỏi từ chính những lần tấn công thất bại của nó, bạn nghĩ mức độ nguy hiểm sẽ tới đâu?

Predator, khi thất bại cũng trở thành dữ liệu tình báo

Nếu trước đây Predator chỉ được nhắc tới như một phần mềm gián điệp thương mại cao cấp, thì những nghiên cứu mới cho thấy bức tranh còn đáng lo hơn nhiều. Nó không chỉ xâm nhập, theo dõi và thu thập dữ liệu, mà còn tự quan sát chính mình, tự ghi nhớ lý do thất bại để cải tiến cho những lần tấn công sau.

Predator được phát triển ban đầu bởi Cytrox, sau đó rơi vào tay Tal Dilian, một cựu sĩ quan tình báo quân đội Israel, và trở thành sản phẩm nổi tiếng nhất trong “hệ sinh thái giám sát” của Intellexa. Công cụ này hầu như chỉ được bán cho các chính phủ và cơ quan tình báo. Nhiều nhà phân tích thậm chí cho rằng hiện nay Predator còn linh hoạt và thích ứng tốt hơn Pegasus, cái tên vốn đã quá quen thuộc trong các bê bối gián điệp toàn cầu. Cả Cytrox lẫn Intellexa đều đã bị Mỹ trừng phạt, nhưng Predator vẫn tiếp tục tiến hóa.

Điểm mấu chốt trong nghiên cứu mới của Jamf nằm ở chỗ Predator không coi thất bại là kết thúc. Mỗi lần tấn công không thành công, thay vì “im lặng biến mất”, phần mềm này ghi nhận chi tiết nguyên nhân, từ việc thiết bị đang chạy công cụ phân tích bảo mật, có cấu hình proxy HTTP, hay đang ở môi trường dễ bị điều tra. Tất cả những thông tin đó được gửi ngược về hạ tầng điều khiển C2 trước khi mã độc tự xóa dấu vết. Nói cách khác, những lần bị chặn lại trở thành dữ liệu huấn luyện cho các phiên bản tương lai.

Tự chẩn đoán, tự thích nghi và né tránh người săn mồi

Jamf phát hiện Predator sử dụng một hệ thống mã lỗi khá tinh vi. Mỗi mã đại diện cho một lý do cụ thể khiến cuộc tấn công bị hủy. Điều đáng chú ý là trong chuỗi mã này có những khoảng trống, không được sử dụng. Điều đó gợi ý rằng Predator được thiết kế với tư duy dài hạn, chừa sẵn không gian cho các chức năng trong tương lai, hoặc dùng chung một hệ thống phân loại trung tâm cho nhiều công cụ giám sát khác của Intellexa.

Nhờ hệ thống này, những lần triển khai thất bại không còn là “hộp đen” với người vận hành. Chúng trở thành báo cáo chẩn đoán chi tiết, giúp nhà phát triển hiểu chính xác môi trường nào đã khiến Predator bị phát hiện, từ đó điều chỉnh để né tránh tốt hơn.

Predator cũng rất “kén chọn” mục tiêu. Nó phát hiện và né Chế độ Nhà phát triển của Apple, một tính năng xuất hiện từ iOS 16, thường chỉ được bật bởi lập trình viên và nhà nghiên cứu bảo mật. Với Predator, điều này đồng nghĩa một cảnh báo thầm lặng: người dùng này không phải mục tiêu thông thường.

Ngoài ra, phần mềm này còn tránh hoạt động tại Mỹ và Israel. Với Mỹ, lý do khá rõ ràng, tránh các lệnh trừng phạt và sự giám sát gắt gao. Còn với Israel, Jamf cho rằng có thể liên quan đến hiểu biết nội bộ của Tal Dilian về khả năng và phạm vi hoạt động của các cơ quan tình báo mạng tại đây.

Xóa dấu vết trước khi bị nhìn thấy

Một phát hiện đáng chú ý khác là cơ chế chống điều tra pháp y của Predator. Khi có sự cố có nguy cơ làm lộ diện sự tồn tại của nó, phần mềm sẽ can thiệp trực tiếp vào nhật ký sự cố của thiết bị, xử lý hoặc xóa chúng trước khi dữ liệu kịp được đồng bộ hay phân tích. Đây là đòn đánh thẳng vào bằng chứng pháp y bộ nhớ, vốn rất quan trọng để phát hiện các cuộc khai thác tinh vi.

Thông điệp cuối cùng từ Jamf khá lạnh người. Predator không chỉ giỏi né tránh phân tích, mà còn theo dõi sát sao chính những công cụ mà các nhà nghiên cứu dùng để săn nó. Cuộc chơi này không còn là mèo vờn chuột, mà là hai bên cùng học hỏi lẫn nhau, chỉ khác ở chỗ một bên được thiết kế để âm thầm xâm nhập.

Nếu đặt trong bối cảnh Việt Nam, nơi người dùng ngày càng phụ thuộc vào smartphone cho công việc và đời sống, câu hỏi đặt ra là: khi những công cụ như Predator tiếp tục tiến hóa, chúng ta thực sự hiểu bao nhiêu về những gì đang diễn ra bên trong thiết bị mình cầm trên tay? (securityweek)