Hackeri z RomComu s väzbami na Rusko objavili slabiny, cez ktoré sa ti vedia dostať nepozorovane do počítača
Bezpečnostní experti z ESETu pozorovali hackerskú kampaň, ktorá pochádza z Ruska a útočila aj v Európe.
Bezpenčostní experti z ESETu spozorovali novú zraniteľnosť, ktorá sa objavila v produktoch Mozzila. Túto slabinu zneužíva hackerská skupina RomCom, ktorá má väzby na Rusko.
Túto zraniteľnosť sledujú experti pod označením CVE-2024-9680. Okrem toho sa bezpečnostným analytikom podarilo objaviť aj druhú slabinu, tentokrát v operačnom systéme Windows. V oboch prípadoch ide o takzvané zero-day slabiny. Pod zero-day slabinou rozumieme zraniteľnosť v systéme, ktorú objavili hackeri ako prví. Vývojár má presne “nula dní” na to, aby vydal opravu a kým sa tak stane, kyberzločinci môžu slabinu aktívne zneužívať.
Užívateľ nemusel robiť nič
Zero-day slabiny sú závažné preto, lebo vopred nemožno povedať, koľko času potrvá oprava. Vo väčšine prípadov vývojári reagujú promptne a bezpečnostná aktualizácia vyjde do niekoľkých dní, inokedy môže oprava trvať dlhšie. V tomto prípade pridáva k závažnosti slabín aj to, že ide o zero-click exploit, teda slabinu, ktorá si nevyžaduje akýkoľvek zásah užívateľa.
“Ak si obeť prezerá webovú stránku obsahujúcu exploit, útočník môže spustiť ľubovoľný kód bez nutnosti interakcie používateľa, čo v tomto prípade viedlo k inštalácii backdooru skupinou RomCom do počítača obete. Backdoor používaný skupinou je schopný vykonávať príkazy a sťahovať ďalšie moduly do počítača obete,” informuje ESET.
Slabina súvisiaca s prehliadačom Mozilly má CVSS hodnotenie 9,8, pričom ide o stupnicu od 0 do 10, ktorá hodnotí závažnosť slabiny. 10 je najviac nebezpečná slabina. Ako sme už spomenuli na začiatku, za útokmi stojí proruská hackerská skupina RomCom. Slabinu objavili experti 8. októbra a analýza odhalila, že hackeri zasiahli Ukrajinu, niekoľko európskych krajín a Spojené štáty. Od 10. Októbra až do 4. novembra sa obete útoku nachádzali prevažne v Európe a Severnej amerike.
Čo sa týka zraniteľnosti Windows operačného systému, táto slabina sa týkala zvýšenia oprávnení. Zneužitie slabiny dovolilo hackerom spustenie kódu mimo sandboxu prehliadača Firefox. Sandbox je prostredie oddelené od ostatných častí aplikácie alebo operačného systému. Ak v tomto prostredí spustíme škodlivý kód, ten nemá šancu ovplyvniť iné časti systému a ohroziť tak prehliadač alebo zariadenie. Slabinu vo Windowse sledujú experti z ESETu pod označením CVE-2024-49039.
Neprehliadni
“Spojenie dvoch zero-day zraniteľností vyzbrojilo RomCom exploitom, ktorý nevyžaduje interakciu používateľa. Táto úroveň sofistikovanosti dokazuje zámer a prostriedky tohto aktéra na získanie alebo vývoj nepozorovaných schopností. Úspešné pokusy o zneužitie navyše doručili backdor RomCom v rámci operácie, ktorá vyzerá ako rozsiahla kampaň,” vysvetľuje ESET.
Hackeri z RomCom sú „známou firmou“
Ruská hackerská skupina RomCom je známa aj pod označeniami Storm-0978, Tropical Scorpius alebo UNC2596. Skupina sa zameriava primárne na útoky proti vybraným obchodným odvetviam. Ide primárne o špionážne kampane zamerané na zhromažďovanie spravodajských informácií. Popri tom útočí aj konvenčnejším malvérom. Útoky na Ukrajine sa zameriavali na vládne subjekty a na obranný a energetický sektor. V Európe útočili zločinci na vládne subjekty a na území Spojených štátov sa obeťami stali farmaceutické a poisťovacie sektory.
„Reťazec kompromitácie pozostáva z falošnej webovej stránky, ktorá presmeruje potenciálnu obeť na server hostiaci exploit, a v prípade úspechu exploitu sa spustí shellkód, ktorý stiahne a spustí backdoor RomCom. Nevieme síce, ako sa šíri odkaz na falošnú webovú stránku, avšak ak sa na stránku dostane pomocou zraniteľného prehliadača, na počítač obete sa spustí škodlivý kód bez nutnosti interakcie používateľa,“ hovorí výskumník spoločnosti ESET Damien Schaeffer, ktorý objavil obe zraniteľnosti.
Skupina RomCom už bola druhýkrát prichytená pri zneužívaní závažnej zero-day slabiny. Bezpečnostní experti z ESETu na záver informujú, že obe kritické bezpečnostné slabiny už boli opravené. Vyzdvihujú hlavne rapídnu odozvu Mozilly, ktorá vydala opravu pre svoju slabinu v priebehu jedného dňa.
Komentáre