Tin tặc Nga lợi dụng lỗ hổng trên Firefox và Windows để mở rộng tấn công

RomCom là một nhóm tội phạm mạng nổi tiếng vì các cuộc tấn công mạng và các hoạt động xâm nhập kỹ thuật số phục vụ cho chính phủ Nga. Nhóm này đã được liên kết với một cuộc tấn công ransomware vào tháng trước nhằm vào gã khổng lồ công nghệ Nhật Bản, Casio, và được biết đến với các hoạt động hung hăng chống lại những tổ chức có quan hệ với Ukraine, nơi Nga đã tiến hành xâm lược từ năm 2014.

Theo công ty bảo mật ESET, nhóm RomCom đã kết hợp việc khai thác hai lỗi zero-day - những lỗi bảo mật mà các nhà phát triển chưa kịp tung ra bản vá trước khi chúng bị lợi dụng - để phát triển một hình thức tấn công "không cần nhấp chuột". Điều này cho phép tin tặc cài đặt phần mềm độc hại từ xa vào máy tính của nạn nhân mà không cần người dùng phải tương tác gì.

Nguồn hình ảnh: Bryce Durbin / TechCrunch

Trong một bài đăng trên blog vào thứ Hai, các nhà nghiên cứu Damien Schaeffer và Romain Dumont nhấn mạnh rằng "mức độ tinh vi này cho thấy khả năng và ý định của kẻ tấn công trong việc phát triển các phương pháp tấn công lén lút".

Để thực hiện cuộc tấn công, RomCom cần nạn nhân truy cập vào một trang web độc hại do nhóm kiểm soát. Khi truy cập, lỗ hổng zero-click sẽ được kích hoạt, dẫn đến việc cài đặt backdoor mang tên RomCom, từ đó cho phép hacker truy cập toàn diện vào thiết bị của nạn nhân.

Schaeffer cho biết với chiến dịch tấn công mạng "lan rộng" của RomCom, số lượng nạn nhân tiềm năng có thể dao động từ một người ở mỗi quốc gia cho đến 250 nạn nhân, chủ yếu tập trung tại Châu Âu và Bắc Mỹ.

Mozilla đã nhanh chóng khắc phục những lỗ hổng này trong Firefox vào ngày 9 tháng 10, một ngày sau khi ESET thông báo về nguy cơ. Tor Project, đơn vị phát triển Tor Browser dựa trên mã nguồn của Firefox, cũng đã thực hiện cập nhật để bảo vệ người dùng, mặc dù chưa có evidence nào cho thấy Tor Browser bị khai thác trong chiến dịch này.

Microsoft đã phát hành bản vá cho lỗ hổng liên quan đến Windows vào ngày 12 tháng 11. Đáng chú ý, các nhà nghiên cứu từ Nhóm Phân Tích Mối Đe Dọa của Google, những người chuyên điều tra các cuộc tấn công mạng do chính phủ hậu thuẫn, đã phát hiện ra lỗi này và báo cáo cho Microsoft, cho rằng nó có thể đã được sử dụng trong các chiến dịch tấn công khác.

Những phát hiện này một lần nữa nhấn mạnh tầm quan trọng của việc bảo mật thông tin trong thời đại số, đặc biệt khi đối mặt với các mối đe dọa liên quan đến an ninh mạng ngày càng gia tăng.