Исследователи безопасности обнаружили две ранее неизвестные уязвимости нулевого дня, которые активно используются RomCom, связанной с Россией хакерской группой, для атак на пользователей браузера Firefox и владельцев устройств Windows в Европе и Северной Америке.
RomCom — это киберпреступная группа, которая, как известно, осуществляет кибератаки и другие цифровые вторжения в интересах российского правительства. Группа, которая в прошлом месяце была связана с атакой с использованием программы-вымогателя, нацеленной на японского технологического гиганта Casio, также известна своей агрессивной позицией в отношении организаций, связанных с Украиной, в которую Россия вторглась в 2014 году.
Исследователи из охранной компании ESET говорят, что нашли доказательства того, что RomCom объединил использование двух ошибок нулевого дня (описанных так, потому что у производителей программного обеспечения не было времени выпустить исправления до того, как они были использованы для взлома людей), чтобы создать «нулевой клик» Эксплойт, который позволяет хакерам удаленно устанавливать вредоносное ПО на компьютер цели без какого-либо взаимодействия с пользователем.
«Такой уровень сложности демонстрирует способность и намерение злоумышленника разрабатывать методы скрытных атак», — заявили исследователи ESET Дэмиен Шеффер и Ромен Дюмон в своем блоге в понедельник.
Объектам RomCom придется посетить вредоносный веб-сайт, контролируемый хакерской группой, чтобы активировать эксплойт с нулевым щелчком мыши. После взлома на компьютер жертвы будет установлен одноименный бэкдор RomCom, обеспечивающий широкий доступ к устройству жертвы.
Шеффер сообщил TechCrunch, что число потенциальных жертв «широкомасштабной» хакерской кампании RomCom варьировалось от одной жертвы на страну до целых 250 жертв, причем большинство целей базируются в Европе и Северной Америке.
Mozilla исправила уязвимость в Firefox 9 октября, на следующий день после того, как ESET предупредила производителя браузера. Проект Tor, который разрабатывает браузер Tor на основе кодовой базы Firefox, также исправил уязвимость; хотя Шеффер сообщил TechCrunch, что ESET не обнаружила никаких доказательств того, что браузер Tor использовался во время этой хакерской кампании.
Microsoft исправила уязвимость, затрагивающую Windows, 12 ноября. Исследователи безопасности из группы анализа угроз Google, которая расследует поддерживаемые правительством кибератаки и угрозы, сообщили об ошибке в Microsoft, предполагая, что эксплойт мог использоваться в других хакерских кампаниях, поддерживаемых правительством.
