Meta đã xác định và vô hiệu hóa một làn sóng chiến dịch spear-phishing mới liên quan đến NSO Group, công ty phần mềm gián điệp bị Hoa Kỳ đưa vào danh sách đen. WhatsApp hiện đang yêu cầu tòa án liên bang tuyên bố NSO Group vi phạm lệnh cấm vĩnh viễn được ban hành vào năm ngoái. Lệnh cấm này ngăn cấm NSO Group nhắm mục tiêu vào WhatsApp và người dùng của họ.
Chi tiết về Lệnh cấm và Lịch sử Vi phạm
Vào tháng 5 năm 2025, một bồi thẩm đoàn liên bang Hoa Kỳ đã yêu cầu NSO Group bồi thường 167.254.000 đô la Mỹ thiệt hại mang tính trừng phạt và 444.719 đô la Mỹ thiệt hại bồi thường cho WhatsApp. Phán quyết này xuất phát từ chiến dịch năm 2019 đã xâm phạm khoảng 1.400 người dùng.
Vụ kiện ban đầu bắt đầu khi NSO khai thác một lỗ hổng buffer overflow trong ngăn xếp VOIP của WhatsApp để cung cấp một cách âm thầm phần mềm gián điệp Pegasus. Kết quả của vụ kiện này là một lệnh cấm vĩnh viễn, cấm NSO Group nhắm mục tiêu vào WhatsApp và người dùng của họ. Lịch sử bất tuân của NSO Group đã được ghi nhận rõ ràng; các hồ sơ tòa án tiết lộ công ty tiếp tục phát triển các công cụ khai thác, bao gồm các vector mã độc có tên mã là “Erised” và “Heaven”, ngay cả sau khi vụ kiện ban đầu được đệ trình.
Khai thác Lỗ hổng Zero-day
Các chiến dịch trước đây của NSO Group đã lợi dụng lỗ hổng zero-day trong các ứng dụng nhắn tin để chiếm quyền kiểm soát thiết bị của mục tiêu. Một ví dụ điển hình là việc khai thác một lỗ hổng trong ngăn xếp VOIP của WhatsApp, cho phép phát tán Pegasus spyware mà không cần người dùng tương tác.
Chiến dịch Spear-Phishing Mới và Lệnh Triệu tập Tòa án
Cuộc điều tra mới nhất của WhatsApp, được kích hoạt bởi báo cáo của người dùng, đã phát hiện các tài khoản liên quan đến NSO đang cố gắng lừa người dùng nhấp vào các liên kết độc hại bên ngoài. Đây là một kỹ thuật phishing kinh điển chỉ với một cú nhấp chuột, trước đây đã được quy cho NSO Group.
Chiến dịch này chủ yếu nhắm mục tiêu vào chưa đến 10 người dùng ở Jordan và Lebanon. Meta đã xác nhận không phát hiện dấu hiệu xâm phạm thiết bị thành công nào. WhatsApp cũng đã xác định và gỡ bỏ các tài khoản và nhóm thử nghiệm do các tác nhân đe dọa tạo ra để dàn dựng các cuộc tấn công.
Chi tiết Cuộc tấn công
Các tác nhân đe dọa đã sử dụng các tài khoản giả mạo để tiếp cận mục tiêu. Mục tiêu là dụ người dùng truy cập vào các URL độc hại. Các URL này có thể dẫn đến việc tải xuống phần mềm độc hại hoặc đánh cắp thông tin.
Hành động Pháp lý và Hỗ trợ Cộng đồng
WhatsApp hiện đang kiến nghị tòa án liên bang Hoa Kỳ yêu cầu NSO Group bị tuyên bố vi phạm lệnh cấm vĩnh viễn, cho rằng hoạt động nhắm mục tiêu mới này cấu thành một sự vi phạm trực tiếp và cố ý đối với lệnh tòa ràng buộc.
Giám đốc điều hành của NSO đã xác nhận trước tòa rằng công ty tích cực tìm kiếm các “vector, hay cách thức truy cập điện thoại” ngoài WhatsApp, bao gồm trình duyệt, hệ điều hành và ứng dụng của bên thứ ba. Điều này minh họa bản chất dai dẳng và phạm vi rộng lớn của các hoạt động giám sát cho thuê của họ.
Vai trò của Các Tổ chức Bên thứ ba
WhatsApp không đơn độc trong cuộc chiến này. Vào tháng 5 năm 2026, 12 tổ chức nhân quyền đã đệ trình các bản kiến nghị thân hữu (amicus briefs) để ủng hộ lệnh cấm vĩnh viễn đối với kháng cáo của NSO. WhatsApp cũng đã đóng góp tài chính đáng kể cho Sáng kiến Trách nhiệm về Phần mềm Gián điệp (SAI), một quỹ hỗ trợ các tổ chức nghiên cứu pháp y, các nhóm vận động và mạng lưới hỗ trợ người dùng trên toàn cầu.
Citizen Lab, một đối tác kỹ thuật quan trọng kể từ năm 2019, trước đây đã tận dụng nghiên cứu về phần mềm gián điệp của mình để kích hoạt một bản cập nhật bảo mật của Apple, bảo vệ hơn một tỷ thiết bị. Sự hợp tác này nhấn mạnh tầm quan trọng của việc chia sẻ thông tin threat intelligence giữa các tổ chức để nâng cao an ninh mạng.
Chỉ số Tấn công (IOC)
Các tên miền độc hại sau đây đã được xác nhận là liên quan đến cơ sở hạ tầng phishing của NSO. Người dùng và các chuyên gia bảo mật được khuyến khích quét trên tất cả các nền tảng – SMS, email và ứng dụng nhắn tin:
- [Domain 1 – Example: nso-support-updates.com]
- [Domain 2 – Example: pegasus-spyware-help.net]
- [Domain 3 – Example: secure-update-ios.org]
Lưu ý quan trọng: Các tên miền trên chỉ là ví dụ minh họa. Người dùng nên tham khảo các báo cáo bảo mật chính thức để có danh sách IOC cập nhật và chính xác nhất. Việc phát hiện sớm các mối đe dọa mạng mới là yếu tố then chốt để phòng ngừa.
Các Biện pháp Phòng ngừa và Bảo vệ
Để bảo vệ bản thân khỏi các cuộc tấn công spear-phishing và phần mềm gián điệp, người dùng nên tuân thủ các nguyên tắc sau:
- Cẩn trọng với các liên kết và tệp đính kèm trong email hoặc tin nhắn không mong muốn, ngay cả khi chúng đến từ người quen.
- Xác minh nguồn gốc của thông tin trước khi nhấp vào bất kỳ liên kết nào. Di chuột qua liên kết để xem URL thực tế mà không nhấp vào.
- Luôn cập nhật hệ điều hành và ứng dụng lên phiên bản mới nhất để đảm bảo đã áp dụng các bản vá bảo mật mới nhất.
- Sử dụng xác thực đa yếu tố (MFA) cho tất cả các tài khoản trực tuyến có thể.
- Cài đặt và duy trì phần mềm chống phần mềm độc hại đáng tin cậy.
- Báo cáo các hoạt động đáng ngờ cho nhà cung cấp dịch vụ (ví dụ: WhatsApp, email).
Các tổ chức nên triển khai các giải pháp an ninh mạng toàn diện, bao gồm tường lửa, hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS), và đào tạo nhận thức bảo mật cho nhân viên. Việc giám sát liên tục và phân tích nhật ký hệ thống có thể giúp phát hiện sớm các dấu hiệu bất thường.
Việc theo dõi các cảnh báo CVE và lỗ hổng bảo mật mới là điều cần thiết. Cập nhật bản vá kịp thời giúp giảm thiểu bề mặt tấn công, ngăn chặn các cuộc tấn công mạng khai thác các điểm yếu đã biết. Các chuyên gia bảo mật cần liên tục cập nhật thông tin về các phương thức tấn công mới và các chỉ số xâm nhập để duy trì khả năng phòng thủ hiệu quả.
Theo dõi các nguồn tin cậy như CISA Advisories để nhận các cảnh báo và khuyến nghị bảo mật mới nhất. Nâng cao nhận thức về rủi ro bảo mật là bước đầu tiên để xây dựng một môi trường kỹ thuật số an toàn hơn.
