បញ្ហា Zero-day ចំនួន៣ ត្រូវបានបង្ហាញដោយក្រុមហ៊ុន Apple កាលពីថ្ងៃទី២១ ខែកញ្ញា ឆ្នាំ២០២៣ ជាផ្នែកមួយនៃការកេងចំណេញលើខ្សែច្រវាក់ iPhone ដើម្បីបញ្ជូនមេរោគយកការណ៍ឈ្មោះ Predator និងមានគោលដៅលើសមាជិកសភា Ahmed Eltantawy ជនជាតិអេស៊ីប នៅចន្លោះខែឧសភា និងខែកញ្ញា ឆ្នាំ២០២៣។
បើយោងតាម Citizen Lab បានឱ្យដឹងថា ការវាយប្រហារកើតឡើង បន្ទាប់ពីលោក Eltantawy បានប្រកាសជាសាធារណៈ ពីគម្រោងឈរឈ្មោះជាប្រធានាធិបតី ក្នុងការបោះឆ្នោតនៅអេស៊ីប ឆ្នាំ២០២៤ ខាងមុខនេះ។ យោងតាមការស៊ើបអង្កេតពី Canadian interdisciplinary laboratory និង Threat Analysis Group (TAG) របស់ក្រុមហ៊ុន Google បានថ្លែងថា Tool សុីឈ្នួលនេះ ត្រូវបានបញ្ជូនតាមរយៈលីងផ្ញើនៅក្នុង SMS និង WhatsApp។
អ្នកស្រាវជ្រាវនៅ Citizen Lab បានថ្លែងថា កាលពីខែសីហា និងខែកញ្ញា ឆ្នាំ២០២៣ ការភ្ជាប់ទូរស័ព្ទ Vodafone Egypt របស់លោក Eltantawy ត្រូវបានចាត់ទុកជាគោលដៅតាមរយៈ Network injection។ នៅពេលដែលលោក ចូលមើលគេហទំព័រផ្លូវការ មិនប្រើ HTTPs ឧបករណ៍ដែលបានដំឡើងនៅ border របស់ Vodafone‘s network បានបញ្ជូនលោកដោយស្វ័យប្រវត្តិទៅកាន់គេហទំព័រក្លែងក្លាយ ដើម្បីចម្លងមេរោគយកការណ៍ Cytrox’s Predator ទៅកាន់ទូរស័ព្ទដៃរបស់គាត់។ខ្សែច្រវាក់នៃការកេងចំណេញបានប្រើបញ្ហាចំនួន ៣គឺ CVE-2023-41991, CVE-2023-41992 និង CVE-2023-41993 ដែលអនុញ្ញាតឱ្យហេគឃ័រឆ្លងកាត់សុពលភាព Certificate, បង្កើនសិទ្ធិ និងបញ្ជាកូដពីចម្ងាយទៅលើឧបករណ៍គោលដៅ ដែលដំណើរការ crafted web content។
មេរោគ Predator ត្រូវបានបង្កើតឡើងដោយក្រុមហ៊ុន Cytrox វាស្រដៀងគ្នានឹង NSO Group’ Pegasus អាចឱ្យអតិថិជនរបស់ពួកគេឃ្លាំមើលគោលដៅតាមរយៈចំណាប់អារម្មណ៍ និងប្រមូលព័ត៌មានសម្ងាត់ពី Compromised devices។ មេរោគនេះក៏ជាផ្នែកមួយនៃក្រុមហ៊ុនលក់មេរោគ Spyware ឈ្មោះ Intellexa Alliance ហើយត្រូវបានបញ្ចូលទៅក្នុងបញ្ជីខ្មៅដោយរដ្ឋាភិបាលអាមេរិក កាលពីខែកក្កដា ឆ្នាំ២០២៣ ពាក់ព័ន្ធនឹងយុទ្ធនាការនៃការបង្រ្កាប និងរំលោភសិទ្ធិមនុស្សជាដើម។ចំពោះការកេងចំណេញនេះ វាបានប្រើ Domain ឈ្មោះ Sec-flare[.]com សម្រាប់បញ្ជូន បន្ទាប់ពីលោកត្រូវបាន Redirected ទៅកាន់គេហទំព័រឈ្មោះ C.betly[.]me តាមរយៈការវាយប្រហារ network injection ប្រើ Sandvine’s PacketLogic middlebox ដែលមានទីតាំងនៅលើលីងរវាង Telecom អេស៊ីប និង Vodafone អេស៊ីប។
Citizen Lab បានថ្លែងថា គោលដៅវេបសាយរួមមាន 2 iframes, ID “if1” ដែលមាន Content នុយបញ្ឆោត (នៅក្នុងករណីលីងភ្ជាប់ទៅកាន់ APK file មិនមានផ្ទុកមេរោគ Spyware) និង ID “if2” ដែលមើលអត់ឃើញ iframe មានផ្ទុកលីងមេរោគ Predator ដែលបានបង្ហោះនៅលើ sec-flare[.]com។អ្នកស្រាវជ្រាវ Google TAG បានប្រាប់ថា វាជាករណីនៃការវាយប្រហារ Adversary-in-the-middle (AitM) ដែលកេងចំណេញលើការចូលទៅកាន់គេហទំព័រដែលប្រើ HTTP (បន្លំជា HTTPS) ដើម្បីស្ទាក់ចាប់ និងបង្ខំជនរងគ្រោះឱ្យចូលទៅកាន់គេហទំព័រផ្សេងដែលបញ្ជាដោយហេគឃ័រ។
លោក Eltantawy ទទួលសារចំនួន ៣លើក នៅខែកញ្ញា ឆ្នាំ២០២១ ខែឧសភា ឆ្នាំ២០២៣ និងខែកញ្ញា ឆ្នាំ២០២៣ ដែលបន្លំជា Security alert ពីកម្មវិធី WhatsApp ដើម្បីបញ្ឆោតលោក Eltantawy ឱ្យចុចលើលីង ឱ្យចាកចេញពី login session អាក្រក់ដែលមានប្រភពចេញពី Windows device។ នៅពេលដែលលីងមិន Match ជាមួយនឹង Fingerprint domain ខាងលើ ការស៊ើបអង្កេតបង្ហាញថាមេរោគ Predator ត្រូវបានដំឡើងនៅលើ Device ប្រហែលជា ២នាទី និង៣០វិនាទី បន្ទាប់ពីលោក Eltantawy អានសារដែលបានទទួល កាលពីខែកញ្ញា ឆ្នាំ២០២១។ គាត់ទទួលបានសារចំនួន ២លើកផ្សេងទៀត កាលពីថ្ងៃទី២៤ ខែមិថុនា ឆ្នាំ២០២៣ និងថ្ងៃទី១២ ខែកក្កដា ឆ្នាំ២០២៣ បន្លំជាបុគ្គលិកធ្វើការនៅសហព័ន្ធអន្តរជាតិសិទ្ធិមនុស្ស (FIDH) បានស្នើសុំយោបល់គាត់នៅលើអត្ថបទដែលបង្ហាញនៅលើគេហទំព័រ sec-flare[.]com។ នៅពេលនោះ គាត់មិនបានអានសារទេ។
Google TAG បានថ្លែងថា វាបានរកឃើញខ្សែច្រវាក់កេងចំណេញ ដែលត្រូវបានប្រើសម្រាប់ប្រតិបត្តិកូដពីចម្ងាយនៅក្នុង Chrome web browser (CVE-2023-4762) ដើម្បីបញ្ជូនមេរោគ Predator នៅលើ Android devices ដែលប្រើវិធីសាស្រ្តចំនួន២ គឺការចាក់បញ្ចូល AitM និងតាមរយៈ one-time links ដែលបានផ្ញើចេញទៅកាន់គោលដៅដោយផ្ទាល់។បញ្ហា CVE-2023-4762 ជាបញ្ហានៃការភាន់ច្រលំនៅក្នុង V8 engine ដែលត្រូវបានរាយការណ៍កាលពីពាក់កណ្តាលខែសីហា ឆ្នាំ២០២៣ និងត្រូវបាន Patched ដោយក្រុមហ៊ុន Google កាលពីដើមខែកញ្ញា ឆ្នាំ២០២៣ បើទោះជា Internet giant វាយតម្លៃថា Cytrox/Intellexa ប្រហែលជាបានប្រើបញ្ហានេះជា Zero-day យ៉ាងណាក្តី។ យោងតាមការពណ៌នារបស់ National Vulnerability Database (NVD) បានឱ្យដឹងថា CVE-2023-4762 ពាក់ព័ន្ធនឹង ប្រភេទនៃការភាន់ច្រលំនៅក្នុង V8 នៅក្នុង Google Chrome ជំនាន់មុនទៅដល់ 116.0.5845.179 ដែលបានអនុញ្ញាតឱ្យហេគឃ័រប្រតិបត្តិការកូដតាមចិត្តតាមរយៈ Crafted HTML page។
ការបង្ហាញចុងក្រោយ ក្រៅពីការកេងចំណេញលើ Tools ដើម្បីវាយប្រហារលើសង្គមស៊ីវិលហើយ នៅមាន Telecom ecosystem ប្រហែលជាត្រូវបានកេងចំណេញ ដើម្បីស្ទាក់ចាប់ចរាចរ Network និងចាក់បញ្ចូលមេរោគទៅក្នុងឧបករណ៍គោលដៅថែមទៀតផង។ Citizen Lab បានថ្លែងថា បើទោះជាមានការវិវឌ្ឍនៅប៉ុន្មានឆ្នាំចុងក្រោយនេះ ដើម្បី “encrypted the web” យ៉ាងណាក្តី អ្នកប្រើប្រាស់នៅតែចូលទៅកាន់គេហទំព័រដែលគ្មាន HTTPS ហើយការចូលទៅកាន់គេហទំព័រដែលគ្មាន HTTPS អាចនឹងឆ្លងមេរោគ។ ជាចុងក្រោយ ដើម្បីកាត់បន្ថយនូវហានិភ័យ អ្នកប្រើប្រាស់គួរតែធ្វើបច្ចុប្បន្នភាពឧបករណ៍ទៅកាន់ជំនាន់ចុងក្រោយ និងបើក Lockdown Mode ទាំងនៅលើទូរស័ព្ទ iPhone, iPads និង Macs៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២៣ ខែកញ្ញា ឆ្នាំ២០២៣
ប្រែសម្រួលដោយ៖ កញ្ញា
