Istraživači iz kompanije ESET otkrili su RoundPress, špijunsku operaciju povezanu s Rusijom koja cilja webmail servere iskorištavanjem XSS ranjivosti. Iza ove operacije najvjerovatnije stoji ruski špijunski hakerski kolektiv Sednit (poznat i kao Fancy Bear ili APT28), s krajnjim ciljem krađe povjerljivih podataka iz određenih email naloga.
Ciljevi
Većina ciljeva povezana je s trenutnim ratom u Ukrajini. Radi se ili o ukrajinskim državnim institucijama ili o odbrambenim kompanijama u Bugarskoj i Rumuniji. Posebno je značajno to što neke od tih kompanija proizvode oružje iz sovjetske ere koje se šalje Ukrajini. Drugi ciljevi uključuju vlade afričkih, zemalja EU i južnoameričkih država.
„Prošle godine, primijetili smo upotrebu različitih XSS ranjivosti za napade na dodatne webmail softvere: Horde, MDaemon i Zimbra. Sednit je takođe počeo koristiti noviju ranjivost u Roundcube (CVE-2023-43770). Ranjivost u MDaemonu — CVE-2024-11182, koja je sada zakrpana — bila je tzv. ‘zero day’, vjerovatno otkrivena od strane Sednita, dok su ranjivosti u Hordeu, Roundcubeu i Zimbri već bile poznate i zakrpane,” kaže ESET istraživač Matthieu Faou, koji je otkrio i istražio Operaciju RoundPress.
Kako funkcionira eksploatacija
Sednit šalje ove XSS eksploite putem emaila. Oni omogućavaju izvršavanje maliciozni JavaScript koda unutar web stranice webmail klijenta koja se pokreće u prozoru pretraživača. Samo podaci kojima ciljani nalog ima pristup mogu biti pročitani i izvučeni.
Da bi eksploatacija uspjela, cilj mora biti uvjeren da otvori email poruku u ranjivom webmail portalu. To znači da email mora proći kroz filtere za neželjenu poštu, a naslov mora biti dovoljno uvjerljiv da natjera metu da pročita poruku — često se iskorištavaju poznati mediji poput ukrajinskog portala Kyiv Post ili bugarskog News.bg. Neki od naslova korištenih za spearphishing bili su: “SBU uhapsio bankara koji je radio za neprijateljsku vojnu obavještajnu službu u Harkivu” i “Putin traži Trumpovo prihvatanje ruskih uslova u bilateralnim odnosima”.
Napadači aktiviraju JavaScript „payload-ove“ SpyPress.HORDE, SpyPress.MDAEMON, SpyPress.ROUNDCUBE i SpyPress.ZIMBRA na metama. Oni su sposobni za krađu kredencijala; izvlačenje adresara, kontakata i istorije prijavljivanja; kao i izvlačenje email poruka. SpyPress.MDAEMON može zaobići zaštitu s dvostepenom autentifikacijom; izvlači tajni ključ za autentifikaciju i kreira aplikacijsku lozinku, koja omogućava napadačima pristup inboxu putem email aplikacije.
„Tokom posljednje dvije godine, webmail serveri poput Roundcube i Zimbra bili su glavni ciljevi nekoliko špijunskih grupa, uključujući Sednit, GreenCube i Winter Vivern. Budući da mnoge organizacije ne ažuriraju redovno svoje webmail servere, a ranjivosti se mogu iskoristiti daljinskim slanjem email poruke, vrlo je praktično za napadače da ciljaju te servere radi krađe emailova,” objašnjava Faou.
Ko stoji iza napada
Grupa Sednit — poznata i kao APT28, Fancy Bear, Forest Blizzard ili Sofacy — aktivna je najmanje od 2004. godine. Američko Ministarstvo pravde navelo je ovu grupu kao jednu od odgovornih za hakovanje Demokratskog nacionalnog odbora (DNC) neposredno prije američkih izbora 2016. godine, te ju je povezalo s GRU-om. Smatra se da je grupa takođe odgovorna za hakovanje globalne televizijske mreže TV5Monde, curenje emailova Svjetske antidoping agencije (WADA) i mnoge druge incidente.
Izvor:Help Net Security