Güvenlik araştırmacıları, Rusya bağlantılı bir bilgisayar korsanlığı grubu olan RomCom tarafından Avrupa ve Kuzey Amerika’daki Firefox tarayıcı kullanıcılarını ve Windows cihazı sahiplerini hedeflemek için aktif olarak kullanılan, önceden bilinmeyen iki sıfır gün güvenlik açığını ortaya çıkardı.
RomCom, Rus hükümeti için siber saldırılar ve diğer dijital izinsiz girişler gerçekleştirdiği bilinen bir siber suç grubudur. Geçen ay Japon teknoloji devi Casio’yu hedef alan bir fidye yazılımı saldırısıyla bağlantısı kurulan grup, aynı zamanda Rusya’nın 2014’te işgal ettiği Ukrayna ile müttefik kuruluşlara karşı saldırgan tutumuyla da tanınıyor.
Güvenlik firması ESET’teki araştırmacılar, RomCom’un, “sıfır tıklama” oluşturmak için yazılım üreticilerinin insanları hacklemek için kullanılmadan önce düzeltmeleri kullanıma sunmaya zamanları olmadığı için böyle tanımlanan iki sıfır gün hatasını birleştirdiğine dair kanıt bulduklarını söylüyorlar. Bu, bilgisayar korsanlarının herhangi bir kullanıcı etkileşimi olmadan hedefin bilgisayarına uzaktan kötü amaçlı yazılım yerleştirmesine olanak tanıyan bir istismardır.
ESET araştırmacıları Damien Schaeffer ve Romain Dumont, “Bu düzeydeki karmaşıklık, tehdit aktörünün gizli saldırı yöntemleri geliştirme yeteneğini ve niyetini gösteriyor” dedi. Pazartesi günü bir blog yazısında şöyle söylendi.
Sıfır tıklama istismarını tetiklemek için RomCom’un hedeflerinin bilgisayar korsanlığı grubu tarafından kontrol edilen kötü amaçlı bir web sitesini ziyaret etmesi gerekecek. RomCom’un kendi adını taşıyan arka kapısı bir kez istismar edildiğinde kurbanın bilgisayarına kurulacak ve kurbanın cihazına geniş erişim olanağı sağlanacak.
Schaeffer, TechCrunch’a RomCom’un hackleme kampanyasındaki potansiyel kurbanların sayısının ülke başına tek bir kurbandan 250 kadar kurbana kadar değiştiğini ve hedeflerin çoğunluğunun Avrupa ve Kuzey Amerika’da olduğunu söyledi.
Mozilla, ESET’in tarayıcı üreticisini uyarmasından bir gün sonra, 9 Ekim’de Firefox’taki güvenlik açığını yamaladı. Tor Tarayıcıyı Firefox’un kod tabanını temel alarak geliştiren Tor Projesi de güvenlik açığını kapattı; ancak Schaeffer, TechCrunch’a ESET’in bu hackleme kampanyası sırasında Tor Tarayıcının kötüye kullanıldığına dair hiçbir kanıt görmediğini söyledi.
Microsoft, Windows’u etkileyen güvenlik açığını 12 Kasım’da yamaladı. Devlet destekli siber saldırıları ve tehditleri araştıran Google’ın Tehdit Analiz Grubu’ndaki güvenlik araştırmacıları, hatayı bildirdi Microsoft’a yapılan açıklamada, istismarın diğer hükümet destekli bilgisayar korsanlığı kampanyalarında kullanılmış olabileceği öne sürüldü.