Výskumníci spoločnosti ESET objavili dve vážne zraniteľnosti, ktoré umožňujú kybernetickým útočníkom spustiť škodlivý kód bez interakcie používateľa.
Tieto chyby, nachádzajúce sa v produktoch Mozilla a operačnom systéme Windows, využíva skupina RomCom napojená na Rusko na sofistikované útoky, píšu topky.sk. Počas nich dochádza k inštalácii backdooru – nástroja umožňujúceho vzdialený prístup k napadnutým zariadeniam.
Ak obeť navštívi webovú stránku obsahujúcu škodlivý exploit, útočníci môžu bez jej vedomia spustiť ľubovoľný kód a prevziať kontrolu nad zariadením. Peter Blažečka z ESETu uviedol, že tieto útoky zasiahli najmä Európu a Severnú Ameriku medzi 10. októbrom a 4. novembrom 2024, pričom boli zamerané na strategické sektory a vládne organizácie.
Detaily o zraniteľnostiach
Prvou odhalenou zraniteľnosťou je CVE-2024-9680, objavená 8. októbra 2024. Ide o chybu typu use-after-free vo Firefoxe, ktorá umožňuje vykonávanie škodlivého kódu v kontexte prehliadača. Mozilla zraniteľnosť opravila už na druhý deň.
Druhou je CVE-2024-49039, chyba zvýšenia oprávnení v systéme Windows, ktorá umožňuje spustiť kód mimo sandboxu Firefoxu. Táto zraniteľnosť bola opravená Microsoftom 12. novembra 2024. Spojením oboch zraniteľností skupina RomCom vytvorila zero-click exploit, ktorý nevyžaduje interakciu používateľa a umožňuje sofistikované útoky.
Kto je RomCom?
RomCom, známa aj ako Tropical Scorpius či UNC2596, je ruská skupina špecializujúca sa na kyberšpionáž a kyberkriminalitu. Jej aktivity zahŕňajú útoky na vládne inštitúcie, obranný sektor, energetiku, farmaceutické firmy či právne kancelárie. V roku 2024 cielila na Ukrajinu, USA a viaceré krajiny v Európe.
Útoky prebiehajú prostredníctvom falošných webových stránok, ktoré presmerujú obete na servery obsahujúce exploit. Pri úspešnom napadnutí zariadenia sa stiahne backdoor RomCom, umožňujúci útočníkom vykonávať príkazy a pridávať ďalší škodlivý softvér.
Reakcia vývojárov
ESET vyzdvihol rýchlu reakciu spoločnosti Mozilla, ktorá chybu opravila do 24 hodín. Ide o druhý významný prípad, keď bola skupina RomCom prichytená pri zneužívaní zero-day zraniteľností, pričom podobné útoky boli zaznamenané už v júni 2023 prostredníctvom aplikácie Microsoft Word.
Tieto incidenty poukazujú na vysokú úroveň sofistikovanosti skupiny RomCom, ktorá neustále vyvíja nové spôsoby, ako obísť zabezpečenie systémov a získať prístup k citlivým údajom.
