Eksploity zero-click. Nowy poziom zagrożenia
Eksperci ds. cyberbezpieczeństwa zidentyfikowali dwie nowe luki zero-day, które są aktywnie wykorzystywane przez grupę hakerską RomCom. Grupa ta, powiązana z Rosją, przeprowadza ataki na użytkowników przeglądarki Firefox oraz właścicieli urządzeń z systemem Windows w Europie i Ameryce Północnej.
RomCom to cyberprzestępcza organizacja znana z działań wspierających interesy rosyjskiego rządu. Ostatnio była związana z atakiem ransomware na japońską firmę Casio. Grupa od lat agresywnie atakuje także organizacje wspierające Ukrainę.
Eksperci ESET odkryli, że RomCom używa wspomnianych luk, by tworzyć exploity „zero-click”, umożliwiające zdalne infekowanie urządzeń złośliwym oprogramowaniem bez interakcji użytkownika. Luka ta jest szczególnie niebezpieczna, gdyż producenci oprogramowania nie zdążyli wcześniej załatać tych podatności.
Reakcja firm technologicznych i skala ataków
Ofiary ataków musiały odwiedzić złośliwą stronę internetową kontrolowaną przez RomCom, by uruchomić exploity zero-click. Po ich wykorzystaniu na urządzeniach ofiar instalowano tylne wejście, które umożliwiało hakerom pełny dostęp do systemu.Według eksperta ESET Damiena Schaeffera, kampania RomCom dotknęła od jednej osoby w poszczególnych krajach po nawet 250 użytkowników, głównie w Europie i Ameryce Północnej.
Mozilla naprawiła wykrytą lukę 9 października, dzień po tym, jak ESET poinformował ją o problemie. Tor Project również załatał podatność, ale według Schaeffera nie ma dowodów, by przeglądarka Tor była używana w tej kampanii.
Microsoft naprawił lukę w systemie Windows dopiero 12 listopada, po zgłoszeniu jej przez Google Threat Analysis Group. Eksperci Google zasugerowali, że luka ta mogła być wykorzystywana także w innych kampaniach hakerskich wspieranych przez rządy.