Một báo cáo chuyên sâu mới, tổng hợp dữ liệu từ năm 2010 đến 2025, đã vén màn bức tranh toàn cảnh về thị trường phần mềm gián điệp thương mại (CSVs). Báo cáo này phơi bày các phương pháp mà những công ty tư nhân này sử dụng để thâm nhập thiết bị, các mục tiêu điển hình của họ, và chuỗi lây nhiễm để triển khai các implant gián điệp bí mật.

Nghiên cứu được công bố bởi một công ty tình báo an ninh mạng hàng đầu, nhấn mạnh mối đe dọa dai dẳng từ các CSVs. Từ những nhà tiên phong ban đầu như FinFisher và Hacking Team đến các ông lớn hiện đại như NSO Group, Candiru và liên minh Intellexa, sự phát triển của ngành công nghiệp này không ngừng mở rộng.

Sự trỗi dậy của Phần mềm Gián điệp Thương mại (2010-2015)

Nguồn gốc của phần mềm gián điệp thương mại có thể được truy dấu về sau sự kiện Mùa xuân Ả Rập. Các chế độ độc tài, lo ngại trước các cuộc nổi dậy của công dân được thúc đẩy qua mạng xã hội, bắt đầu tìm kiếm các công cụ giám sát và đàn áp có sẵn.

Các nhà cung cấp ban đầu xuất hiện từ năm 2010 đến 2015. FinFisher (FinSpy) của Gamma Group và Remote Control System (RCS) của Hacking Team (Ý) đã cho phép các chính phủ ở Ai Cập, Bahrain, Morocco và Ả Rập Xê Út giám sát các nhà hoạt động thông qua các chiến dịch lừa đảo (phishing) và khai thác tài liệu độc hại.

Các công ty châu Âu như Amesys đã cung cấp giải pháp “Eagle”, một công cụ kiểm tra gói tin sâu (deep-packet-inspection) được Libya sử dụng để giám sát internet diện rộng. Công ty này sau đó đã bị truy tố vì vi phạm nhân quyền và được đổi tên dưới Bull Group, trước khi phát triển thành phần mềm gián điệp thương mại Predator của Intellexa ngày nay.

Giai đoạn Phát triển Đột phá và Kỹ thuật Tấn công

Từ năm 2016 đến 2021, các CSVs đã biến đổi thành các nhà cung cấp dịch vụ toàn diện. Họ tích hợp các vector tấn công, hạ tầng chỉ huy và kiểm soát (C2), bảng điều khiển đa ngôn ngữ và các mô-đun đánh cắp dữ liệu thành các giải pháp chìa khóa trao tay.

Các nhà nghiên cứu lỗ hổng, cũng như các nhà phát triển và môi giới khai thác, có thể được mời để cung cấp các lỗ hổng và khai thác mới. Điều này nhằm đảm bảo sự liên tục của một hoạt động giám sát nhắm vào các mục tiêu cụ thể.

Khai thác Lỗ hổng Zero-Click và One-Click

Sự ra đời công khai của các implant zero-click và one-click đã đánh dấu một bước ngoặt. Pegasus của NSO Group đã khai thác các lỗ hổng iOS thông qua một cú nhấp chuột duy nhất vào năm 2016.

Các phiên bản sau này không yêu cầu tương tác của người dùng, làm xâm phạm thiết bị thông qua các tin nhắn bị lỗi định dạng hoặc việc thêm vào nhóm im lặng trong các ứng dụng như WhatsApp. Báo cáo Sekoia về các nhà cung cấp giám sát thương mại cung cấp cái nhìn sâu sắc hơn về các kỹ thuật này.

Các nhà cung cấp của Israel đã tận dụng chuyên môn từ các đơn vị tình báo quân đội cũ — các cựu chiến binh Đơn vị 8200 đã thúc đẩy những đổi mới trong Graphite Spyware (Paragon Solutions) và DevilsTongue (Candiru).

Thích ứng và Né tránh của Các Nhà Cung cấp

Báo chí điều tra và các tiết lộ của NGO — như Dự án Pegasus, bộ công cụ MVT của Amnesty, và Predator Files của Citizen Lab — đã gây ra một cuộc khủng hoảng uy tín sau năm 2021.

Các vụ kiện và lệnh trừng phạt đã diễn ra sau đó: phán quyết 167 triệu đô la của Meta chống lại NSO vì khai thác WhatsApp và việc NSO, Candiru, và Intellexa bị đưa vào Danh sách Thực thể của Hoa Kỳ nhằm mục đích kìm hãm hoạt động của chúng.

Tuy nhiên, báo cáo chỉ ra rằng các CSVs đang thích nghi bằng cách đổi tên thương hiệu, tạo ra các công ty con mờ ám ở nhiều khu vực pháp lý, và thuê các bên trung gian để vượt qua các kiểm soát xuất khẩu. XTN Cognitive Security, một trong số đó, đã phát triển một nền tảng và có chuyên môn trong các giải pháp chống gian lận.

Predator của Intellexa tiếp tục tồn tại thông qua mạng C2 nhiều lớp, thậm chí còn thêm các lớp máy chủ ẩn danh chưa từng thấy trước đây thuộc sở hữu của các công ty bên thứ ba.

Chuỗi Lây nhiễm và Kỹ thuật Né tránh Phát hiện

Chuỗi lây nhiễm của phần mềm gián điệp thương mại thường bắt đầu bằng việc trinh sát để lập hồ sơ hệ sinh thái thiết bị của mục tiêu.

Các nhà khai thác chọn vector tấn công one-click (liên kết spear-phishing hoặc tệp tin được vũ khí hóa) hoặc zero-click (hình ảnh bị lỗi định dạng hoặc bản xem trước PDF), khai thác các lỗ hổng trong ứng dụng nhắn tin hoặc giao thức băng tần cơ sở (baseband protocols).

Truy cập vật lý vẫn là một giải pháp dự phòng—sử dụng các công cụ USB injection hoặc thiết bị pháp y như UFED của Cellebrite để cài đặt implant khi thiết bị bị tịch thu tại biên giới hoặc các điểm kiểm soát.

Khi được triển khai, các implant sẽ báo hiệu về máy chủ C2—thường là các miền hợp pháp bị typosquat hoặc bị xâm phạm—thông qua kênh HTTPS và SSH.

Thách thức trong Phát hiện và Đối phó

Các nhà cung cấp theo dõi các mẫu đăng ký và cấu hình hạ tầng sai để lập bản đồ dấu vết khách hàng của họ. Việc phát hiện phần mềm gián điệp thương mại là vô cùng khó khăn.

Các công cụ phân tích lưu lượng mạng như SpyGuard và bộ công cụ pháp y như Sysdiagnose của Apple hoặc MVT của Amnesty có thể gắn cờ các bất thường. Tuy nhiên, các implant tinh vi sử dụng geofencing và xoay vòng giao thức để né tránh việc bị phát hiện.

Thị trường Phần mềm Gián điệp Thương mại và Biện pháp Phòng ngừa

Báo cáo cảnh báo rằng mặc dù có những nỗ lực pháp lý và các vụ phơi bày, thị trường CSV vẫn cực kỳ sinh lợi.

Phí kích hoạt đã tăng vọt—từ 1.100 euro cho FinFisher vào năm 2011 lên tới 8 triệu euro cho việc cài đặt Predator vào năm 2022—thúc đẩy nhu cầu tiếp tục giữa cả các chế độ độc tài và các nền dân chủ thiếu giám sát chặt chẽ.

Chi phí và Khuyến nghị Bảo mật

Các giao thức vệ sinh bảo mật—cập nhật thường xuyên, chế độ khóa (lockdown modes), vô hiệu hóa các tín hiệu vô tuyến không sử dụng và xử lý liên kết một cách thận trọng—mang lại sự giảm thiểu một phần rủi ro. Người đi du lịch được khuyên nên sử dụng thiết bị dùng một lần (burner devices) và giả định rằng thiết bị đã bị xâm phạm sau khi kiểm tra hải quan.

Khi các nhà cung cấp phần mềm gián điệp thương mại tinh chỉnh công cụ và an ninh hoạt động của họ, báo cáo kêu gọi các khuôn khổ quốc tế mạnh mẽ hơn—chẳng hạn như Bộ quy tắc ứng xử Pall Mall—để kiềm chế việc bán hàng vô trách nhiệm.

Nếu không có các biện pháp bảo vệ pháp lý và sự minh bạch hiệu quả, rủi ro giám sát do CSVs tạo ra vẫn là một mối lo ngại cấp bách toàn cầu đối với an ninh mạng toàn cầu.