Yeni Hedef: Firefox ve Windows Kullanıcıları
Güvenlik araştırmacıları, RomCom isimli Rus bağlantılı hack grubu tarafından aktif olarak istismar edilen iki daha önce bilinmeyen sıfırıncı gün açığını keşfetti. Bu keşif, Avrupa ve Kuzey Amerika’daki Firefox tarayıcı kullanıcıları ve Windows cihaz sahiplerine yönelik hedef alınan saldırıların artışıyla ilgili.
RomCom’un Tehditleri
RomCom, Rus hükümeti için siber saldırılar gerçekleştirerek bilinen bir siber suç örgütüdür. Geçtiğimiz ay Japon teknoloji devi Casio’ya yönelik bir fidye yazılımı saldırısıyla ilişkilendirilen bu grup, 2014 yılından beri Rusya’nın işgali altındaki Ukrayna ile müttefik olan kuruluşlara karşı saldırgan bir tutum sergilemektedir.
Zero-Click Açığı
Güvenlik firması ESET’ten gelen araştırmalara göre, RomCom bu iki sıfırıncı gün açığını birleştirerek sıfır tıklama şeklinde adlandırılan bir istismar geliştirmiştir. Bu yöntem, hackerların bir kullanıcının herhangi bir etkileşimde bulunmasına gerek kalmadan uzaktan malware yerleştirmesine olanak tanımaktadır.
ESET araştırmacıları Damien Schaeffer ve Romain Dumont, bu gelişmenin RomCom’un gizli saldırı yöntemleri geliştirme yeteneğini gösterdiğini vurguladı.
RomCom’un kurbanları, bu hack grubunun kontrolündeki kötü amaçlı bir web sitesine girmeleri durumunda bu sıfır tıklama açığını tetikleyeceklerdir. Açık başarıyla kullanıldıktan sonra, RomCom’un ismiyle anılan arka kapı, mağdurun cihazına yerleşecek ve onlara geniş bir erişim sağlayacaktır.
Potansiyel Mağdurlar ve Önlemler
Schaeffer, RomCom’un kapsamlı saldırı kampanyasından etkilenecek potansiyel kurban sayısının, her ülkede bir kurbandan 250 kurbana kadar değiştiğini belirtti. Çoğu hedefin ise Avrupa ve Kuzey Amerika’da olduğunu ifade etti.
Mozilla, Firefox’taki açığı 9 Ekim’de, ESET’in tarayıcı üreticisine uyarıda bulunmasından bir gün sonra yamanmıştır. Tor Project, Firefox’un kod tabanını kullanarak geliştirdiği Tor Tarayıcısı’ndaki açığı da kapattı; ancak ESET, bu siber saldırılar sırasında Tor Tarayıcısının istismar edildiğine dair bir kanıt görmediğini aktardı.
Microsoft, Windows’taki açığı ise 12 Kasım’da giderdi. Google’ın Tehdit Analiz Grubu, hükümet destekli siber saldırıları ve tehditleri araştırarak, bu açığı Microsoft’a bildirdi. Aynı zamanda, bu açığın diğer hükümet destekli siber saldırılarda da kullanılmış olabileceği öne sürüldü.
