متهم شدن هکرهای روسی به سوءاستفاده از آسیب‌پذیری‌های ویندوز و فایرفاکس

به گزارش کارگروه امنیت سایبربان؛ محققان معتقدند که هکرهای مرتبط با روسیه، موسوم به «RomCom»، از 2 آسیب‌پذیری روزصفر در محصولات موزیلا و مایکروسافت برای هدف قرار دادن قربانیان در اروپا و آمریکای شمالی سوءاستفاده کرده‌اند.

بنابر ادعای کارشناسان، RomCom، که با نام «Storm-0978» نیز ردیابی می‌شود، برای هدف قرار دادن نهادهای دفاعی و دولتی در سراسر جهان شناخته شده است و هم در فعالیت‌های باج‌افزاری و هم فعالیت‌های جاسوسی شرکت می‌کند. این گروه نام خود را از یک بدافزار سفارشی گرفته و حداقل از سال 2022 از آن استفاده کرده است.

هکرها در آخرین کمپین خود، که توسط شرکت امنیت سایبری «ESET» مستقر در اسلواکی تجزیه و تحلیل شد، از یک نقص امنیتی جدی در مرورگر فایرفاکس موزیلا با نام «CVE-2024-9680» و همچنین یک آسیب‌پذیری در محصولات مایکروسافت برای ویندوز با عنوان «CVE 2024 49039» سوءاستفاده کردند.

سوءاستفاده از آسیب‌پذیری فایرفاکس می‌تواند به مهاجمان اجازه دهد تا کدهای مخرب را در فرآیند محتوای مرورگر اجرا کنند، محیطی که محتوای وب بارگیری و ارائه می‌شود. این اکسپلویت نیازی به تعامل کاربر ندارد و می‌تواند از طریق شبکه با پیچیدگی کم اجرا شود.

اوایل ماه اکتبر سال جاری، شبکه ناشناس تور (Tor) یک پچ اضطراری برای رفع این نقص منتشر کرد و هشدار داد که مهاجمان به کمک این پچ می‌توانند کنترل مرورگر تور را در دست بگیرند.

آسیب‌پذیری دیگر در ابزار ویندوزی است که برای خودکارسازی وظایفی مانند اجرای اسکریپت‌ها یا برنامه‌ها در زمان‌های خاص استفاده می‌شود. به گفته ESET، مهاجمان می‌توانند از این طریق کدی به جز «sandbox Firefox» و مرورگر تور (Tor Browser) اجرا کنند. بهره‌برداری موفقیت‌آمیز از آسیب‌پذیری‌ها می‌تواند به هکرها اجازه دهد تا دستگاه‌های قربانیان را با درب پشتی RomCom آلوده کنند، ابزاری که قادر به اجرای دستورات و دانلود ماژول‌های اضافی در دستگاه قربانی است.

موزیلا و مایکروسافت از آن زمان این آسیب‌پذیری‌ها را اصلاح کرده‌اند.

به گفته محققان، هکرها درب پشتی خود را از طریق یک وب‌سایت جعلی ارائه می‌دهند که قربانیان احتمالی را به سروری برای میزبانی این اکسپلویت هدایت و سپس بدافزار را اجرا می‌کند. در حالیکه هنوز مشخص نیست که قربانیان چگونه به وب‌سایت جعلی هدایت شده‌اند، بازدید از آن با یک مرورگر آسیب‌پذیر به طور خودکار بدافزار را دانلود و بدون نیاز به اقدام کاربر اجرا می‌کند.

براساس تجزیه و تحلیل ESET، بین اکتبر و نوامبر 2024، اکثر قربانیان احتمالی که به وب‌سایت‌های میزبانی سوءاستفاده دسترسی داشتند، در اروپا و آمریکای شمالی قرار داشتند. تعداد اهداف از یک قربانی در برخی کشورها تا 250 مورد در کشورهای دیگر متفاوت بود.

ESET توضیح داد :

«زنجیره‌سازی 2 آسیب‌پذیری روز صفر، RomCom را با یک اکسپلویت مسلح کرد که نیازی به تعامل کاربر ندارد. این سطح از پیچیدگی نشان دهنده توانایی و نیت گروه هکری برای توسعه روش‌های حمله مخفیانه است.»

کارشناسان مدعی شدند که گروه هکری مذکور از زمان حمله مسکو به اوکراین به طور فعال نهادهای ضد روسیه را هدف قرار داده است. اوایل ماه اکتبر امسال، نهادهای بلندپایه دولتی اوکراین و سازمان‌های ناشناس لهستانی با نسخه به‌روز شده این بدافزار هدف قرار گرفتند؛ هدف از این حملات ایجاد دسترسی طولانی‌مدت به سیستم‌های قربانیان و استخراج داده‌های منافع استراتژیک است. محققان همچنین خاطرنشان کردند که هکرها ممکن است بعداً باج‌افزار را روی دستگاه‌های در معرض خطر مستقر کنند و شاید به دنبال سود مالی هستند.

محققان ادعا کردند که سال گذشته، هکرهای مرتبط با RomCom اوکراین و متحدانش را قبل از نشست سران ناتو در لیتوانی هدف قرار دادند و احتمالاً از سطح بالای رویداد برای آلوده کردن مهمانان با نرم‌افزارهای مخرب استفاده کردند.

بنابر ادعای بلک‌بری، RomCom همچنین علیه سازمان‌های نظامی اوکراین، شرکت‌های فناوری اطلاعات و سیاستمداران همسو با کشورهای غربی و یک شرکت مراقبت‌های بهداشتی مستقر در ایالات متحده، ارائه دهنده کمک‌های بشردوستانه به پناهندگان اوکراینی، فعالیت کرده است.