Η ρωσική hacking ομάδα Winter Vivern εκμεταλλεύεται μια ευπάθεια zero-day στο Roundcube Webmail και στοχεύει ευρωπαϊκές κυβερνητικές οντότητες και think tanks. Οι επιθέσεις έχουν ξεκινήσει τουλάχιστον από τις 11 Οκτωβρίου.
Η ομάδα προγραμματιστών του Roundcube κυκλοφόρησε ενημερώσεις ασφαλείας για τη διόρθωση της ευπάθειας Stored Cross-Site Scripting (XSS) (CVE-2023-5631), που αναφέρθηκε από ερευνητές της ESET στις 16 Οκτωβρίου.
Οι ενημερώσεις ασφαλείας κυκλοφόρησαν πέντε ημέρες αφότου η εταιρεία κυβερνοασφάλειας εντόπισε Ρώσους κυβερνοεγκληματίες να χρησιμοποιούν το Roundcube zero-day σε επιθέσεις.
Σύμφωνα με τα ευρήματα της ESET, οι hackers χρησιμοποίησαν HTML email μηνύματα, που περιείχαν προσεκτικά δημιουργημένα έγγραφα SVG για να εισάγουν εξ αποστάσεως κώδικα JavaScript.
Τα phishing μηνύματα υποδύονταν την ομάδα του Outlook και προσπάθησαν να ξεγελάσουν πιθανά θύματα, ώστε να ανοίξουν κακόβουλα emails. Κατά το άνοιγμα, γινόταν αυτόματη ενεργοποίηση ενός payload πρώτου σταδίου, που εκμεταλλευόταν την ευπάθεια του Roundcube email server.
Δείτε επίσης: Η Κομητεία Rock διερευνά επίθεση ransomware
Το τελικό JavaScript payload που χρησιμοποιήθηκε στις επιθέσεις βοήθησε τους κακόβουλους παράγοντες να συλλέξουν και να κλέψουν μηνύματα ηλεκτρονικού ταχυδρομείου από διακομιστές αλληλογραφίας που είχαν παραβιαστεί.
“Με την αποστολή ενός ειδικά διαμορφωμένου μηνύματος email, οι εισβολείς μπορούν να φορτώσουν κώδικα JavaScript στο πλαίσιο του browser window του Roundcube. Δεν απαιτείται χειροκίνητη παρέμβαση, πέρα από την προβολή του μηνύματος σε πρόγραμμα περιήγησης ιστού“, δήλωσε η ESET.
Η hacking ομάδα Winter Vivern εντοπίστηκε για πρώτη φορά τον Απρίλιο του 2021, και τράβηξε την προσοχή αφού άρχισε να στοχεύει κυβερνητικές υπηρεσίες σε όλο τον κόσμο, συμπεριλαμβανομένων κρατών όπως η Ινδία, η Ιταλία, η Λιθουανία, η Ουκρανία και το Βατικανό.
Δείτε επίσης: API ευπάθειες επηρέαζαν τα Grammarly, Vidio και Bukalapak
Σύμφωνα με ερευνητές της SentinelLabs, οι στόχοι της ομάδας ευθυγραμμίζονται στενά με τα συμφέροντα των κυβερνήσεων της Λευκορωσίας και της Ρωσίας.
Η Winter Vivern στοχεύει Zimbra και Roundcube email servers που ανήκουν σε κυβερνητικούς οργανισμούς, τουλάχιστον από το 2022.
Κλοπή emails από κυβερνητικούς φορείς
Οι επιπτώσεις της κλοπής κυβερνητικών email είναι πολύ σοβαρές και ανησυχητικές. Καταρχάς, η κλοπή αυτή μπορεί να προκαλέσει σημαντική ζημιά στην εθνική ασφάλεια, καθώς οι κυβερνητικές επικοινωνίες περιέχουν ευαίσθητες πληροφορίες σχετικά με την αμυντική στρατηγική, την πολιτική και τις διπλωματικές σχέσεις. Η πρόσβαση σε αυτές τις πληροφορίες μπορεί να επιτρέψει σε εχθρικές χώρες ή ομάδες να αποκτήσουν πλεονέκτημα και να προκαλέσουν ανεπανόρθωτη ζημιά στην ασφάλεια του κράτους.
Δείτε επίσης: Hackers στοχεύουν ρωσικούς οργανισμούς με backdoor για κλοπή δεδομένων
Επιπλέον, η κλοπή κυβερνητικών email μπορεί να έχει σοβαρές επιπτώσεις στην εμπιστοσύνη του κοινού προς την κυβέρνηση. Οι πολίτες εμπιστεύονται την κυβέρνηση για την προστασία των προσωπικών τους πληροφοριών και την ασφάλεια του κράτους. Όταν αυτή η εμπιστοσύνη παραβιάζεται, οι πολίτες μπορεί να αμφισβητήσουν την ικανότητα της κυβέρνησης να προστατεύσει τα συμφέροντά τους.
Επιπλέον, η κλοπή κυβερνητικών email μπορεί να έχει σημαντικές πολιτικές επιπτώσεις. Οι Ρώσοι hackers μπορούν να χρησιμοποιήσουν τις κλεμμένες πληροφορίες για να επηρεάσουν τις πολιτικές αποφάσεις και τις εκλογές σε άλλες χώρες. Αυτό μπορεί να οδηγήσει σε αποδυνάμωση των δημοκρατικών διαδικασιών και να προκαλέσει αναταραχές στις διεθνείς σχέσεις.
Τέλος, υπάρχουν και οικονομικές συνέπειες. Οι hackers μπορούν να χρησιμοποιήσουν τις κλεμμένες πληροφορίες για να προβούν σε οικονομική κατασκοπεία, να παραβιάσουν επιχειρηματικά μυστικά και να κλέψουν εμπορικές πληροφορίες. Αυτό μπορεί να προκαλέσει σοβαρές ζημιές στην οικονομία της χώρας και να απειλήσει την ανταγωνιστικότητα των επιχειρήσεων.
Πηγή: www.bleepingcomputer.com
