Sicherheitsforscher haben zwei bisher unbekannte Zero-Day-Schwachstellen entdeckt, die von RomCom, einer mit Russland verbundenen Hackergruppe, aktiv ausgenutzt werden, um Firefox-Browserbenutzer und Windows-Gerätebesitzer in ganz Europa und Nordamerika anzugreifen.
RomCom ist eine Cyberkriminalitätsgruppe, die dafür bekannt ist, für die russische Regierung Cyberangriffe und andere digitale Eingriffe durchzuführen. Die Gruppe – die letzten Monat mit einem Ransomware-Angriff auf den japanischen Technologieriesen Casio in Verbindung gebracht wurde – ist auch für ihre aggressive Haltung gegenüber Organisationen bekannt, die mit der Ukraine verbündet sind, in die Russland 2014 einmarschierte.
Forscher des Sicherheitsunternehmens ESET sagen, sie hätten Beweise dafür gefunden, dass RomCom die beiden Zero-Day-Bugs – die als solche beschrieben werden, weil die Softwarehersteller keine Zeit hatten, Fixes auszurollen, bevor sie zum Hacken von Menschen eingesetzt wurden – kombinierte, um einen „Zero-Click“ zu erzeugen. Exploit, der es den Hackern ermöglicht, aus der Ferne Malware auf dem Computer eines Ziels einzuschleusen, ohne dass ein Benutzereingriff erforderlich ist.
„Dieser Grad an Raffinesse zeigt die Fähigkeit und Absicht des Bedrohungsakteurs, heimliche Angriffsmethoden zu entwickeln“, sagen die ESET-Forscher Damien Schaeffer und Romain Dumont sagte in einem Blogbeitrag am Montag.
Die Ziele von RomCom müssten eine bösartige Website besuchen, die von der Hackergruppe kontrolliert wird, um den Zero-Click-Exploit auszulösen. Nach der Ausnutzung würde die gleichnamige Hintertür von RomCom auf dem Computer des Opfers installiert und so einen umfassenden Zugriff auf das Gerät des Opfers ermöglichen.
Schaeffer sagte gegenüber Tech, dass die Zahl der potenziellen Opfer der „weit verbreiteten“ Hacking-Kampagne von RomCom zwischen einem einzelnen Opfer pro Land und bis zu 250 Opfern liege, wobei die meisten Ziele in Europa und Nordamerika ansässig seien.
Mozilla hat die Sicherheitslücke in Firefox am 9. Oktober behoben, einen Tag nachdem ESET den Browserhersteller alarmiert hatte. Das Tor-Projekt, das den Tor-Browser basierend auf der Codebasis von Firefox entwickelt, hat die Schwachstelle ebenfalls gepatcht; Allerdings sagte Schaeffer gegenüber Tech, dass ESET keine Beweise dafür gesehen habe, dass der Tor-Browser während dieser Hacking-Kampagne ausgenutzt wurde.
Microsoft hat die Schwachstelle, die Windows betrifft, am 12. November gepatcht. Sicherheitsforscher der Threat Analysis Group von Google, die von der Regierung unterstützte Cyberangriffe und Bedrohungen untersucht, habe den Fehler gemeldet an Microsoft, was darauf hindeutet, dass der Exploit möglicherweise in anderen von der Regierung unterstützten Hacking-Kampagnen verwendet wurde.