Ekim ayında kısa bir süreliğine Rus bilgisayar korsanları, Firefox veya Tor kullanan dünyadaki herkese karşı keyfi kod çalıştırma olanağına sahip oldu.
ESET araştırmacıları ilk kez 8 Ekim’de Rus gelişmiş kalıcı tehdidi (APT) tarafından yönetilen bir sunucuda kötü amaçlı dosyalar tespit etti RomCom (aka Storm-0978, Tropical Scorpius, UNC2596). Dosyalar yalnızca beş gün önce, 3 Ekim’de çevrimiçi hale getirilmişti. Analizler, bunların iki sıfır gün güvenlik açığı: Biri Mozilla yazılımını, diğeri Windows’u etkiliyor. Sonuç: RomCom arka kapısını virüslü bir web sitesini ziyaret eden herkese yayan bir istismar; hiçbir tıklamaya gerek yok.
Şans eseri her iki sorun da kısa sürede çözüldü. ESET kötü amaçlı yazılım araştırmacısı Romain Dumont, “Saldırganların bilgisayarların güvenliğini aşmak için çok küçük bir zaman aralığı vardı” diye açıklıyor. “Evet, sıfır gün güvenlik açığı vardı. Ancak yine de çok hızlı bir şekilde yama uygulandı.”
Dark Reading bu hikaye hakkında yorum yapmak için Mozilla’ya ulaştı.
Firefox ve Tor’da Sıfır Gün
İki güvenlik açığından ilki olan CVE-2024-9680, Firefox animasyon zaman çizelgelerinde (kullanıcıların web siteleri ile olan etkileşimlerine göre animasyonların nasıl oynatıldığını yöneten tarayıcı mekanizması) ücretsiz kullanım sonrası fırsattır. Saldırganlara keyfi komut yürütme olanağı sağlama gücü, ona Ortak Güvenlik Açığı Puanlama Sisteminden (CVSS) “kritik” 9,8 puan kazandırdı.
Daha da önemlisi, CVE-2024-9680, Firefox’tan fazlasını etkiliyor. Mozilla’nın açık kaynaklı e-posta istemcisi “Thunderbird” ve Firefox’un Genişletilmiş Destek Sürümü (ESR) tarayıcısının değiştirilmiş bir sürümünden oluşturulan son derece gizli Tor tarayıcısı da etkilendi.
Ekim ayında RomCom, herhangi bir mağdur etkileşimine ihtiyaç duymadan CVE-2024-9680’i anında tetikleyecek özel hazırlanmış web sitelerini devreye aldı. Kurbanlar bilmeden indirirdi RomCom arka kapısı RomCom tarafından kontrol edilen sunuculardan, daha sonra hızla ziyaret ettiklerini düşündükleri orijinal web sitesine yönlendirilirler.
Bu kötü amaçlı alanlar, ConnectWise ve Devolutions BT hizmetleri platformları ve Almanya’da araştırmacı gazeteciliğe yönelik kar amacı gütmeyen bir haber odası olan Correctiv ile ilişkili gerçek siteleri taklit etmek için yapıldı. Bu örgütlerin doğası gereği hem politik hem de ekonomik olması, her zaman fırsatçı siber suçlar yürüten RomCom’a aşina olanları şaşırtmayabilir, ancak daha yakın zamanlarda şunu ekledi: siyasi amaçlı casusluk gündemine taşıdı. 2024’teki faaliyetleri arasında ABD’deki sigorta ve ilaç sektörlerinin yanı sıra Ukrayna’daki savunma, enerji ve hükümet sektörlerine yönelik kampanyalar da yer aldı.
RomCom’un bu kötü amaçlı siteleri hangi sosyal mühendislik yoluyla yaymış olabileceği belli değil.
RomCom’un Kampanyası Hakkında Bildiklerimiz
Yalnızca kurbanın tarayıcısında kod çalıştırmakla yetinmeyen RomCom, ikinci bir güvenlik açığını da kullandı. CVE-2024-49039. Windows Görev Zamanlayıcı’daki bu yüksek önem derecesine sahip 8.8 CVSS dereceli hata, düşük seviyeli kullanıcıların istemeden erişebildiği belgelenmemiş uzaktan prosedür çağrıları (RPC) uç noktası sayesinde ayrıcalık yükseltmeye olanak tanır. Bu durumda RomCom, tarayıcı sanal alanından kaçmak ve genel olarak kurbanın makinesine ulaşmak için CVE-2024-49039’u kullandı.
Bu kadar güçlü bir istismar zincirinin vermiş olabileceği hasar ve geçen ay bundan tam olarak kimin etkilendiği bilinmiyor. Bu noktada açık olan şey, hedeflerin büyük çoğunluğunun Kuzey Amerika ve Avrupa’da (özellikle Çek Cumhuriyeti, Fransa, Almanya, Polonya, İspanya, İtalya ve ABD’de) artı Yeni Zelanda ve Fransız Guyanası’ndaki dağınık kurbanlarda olduğudur.
Ayrıca ESET’in takip ettiği kurbanların hiçbirinin Tor aracılığıyla ele geçirilmediği de dikkat çekiyor. ESET’in kıdemli kötü amaçlı yazılım araştırmacısı Damien Schaeffer, “Tor’un Firefox’tan farklı, önceden tanımlanmış bazı ayarları var, bu yüzden işe yaramayabilirdi” diye tahminde bulunuyor. RomCom’un öncelikli hedeflerinin Tor’u nadiren kullanan şirketler olduğunun da altını çiziyor.
Hem CVE-2024-9680 hem de CVE-2024-49039 o zamandan beri yamalandı; ilki 9 Ekim’de, Mozilla’nın sorunun bildirilmesinden sadece 25 saat sonra, ikincisi ise 12 Kasım’da.
Schaeffer, “Umarım şimdiye kadar sorun az çok çözülmüştür” diyor. Yine de herhangi bir kuruluş için “Bu, onların politikalarına bağlı olacaktır. Eğer iyi bir yama yönetiminiz varsa, bu bir gün kadar içinde düzeltilirdi. Ancak bunların düzeltilmesi insanlara kalmış.”