استغل قراصنة مرتبطون بروسيا أخطاء يوم الصفر في Firefox وWindows في حملة قرصنة “واسعة النطاق”.

اكتشف باحثون أمنيون اثنتين من نقاط الضعف في يوم الصفر والتي لم تكن معروفة سابقًا والتي يتم استغلالها بشكل نشط من قبل RomCom، وهي مجموعة قرصنة مرتبطة بروسيا، لاستهداف مستخدمي متصفح Firefox وأصحاب أجهزة Windows في جميع أنحاء أوروبا وأمريكا الشمالية.

RomCom هي مجموعة جرائم إلكترونية معروفة بتنفيذ هجمات إلكترونية وتطفلات رقمية أخرى لصالح الحكومة الروسية. المجموعة – التي تم ربطها الشهر الماضي بهجوم فدية استهدف شركة التكنولوجيا اليابانية العملاقة كاسيو – معروفة أيضًا بموقفها العدواني ضد المنظمات المتحالفة مع أوكرانيا، التي غزتها روسيا في عام 2014.

يقول الباحثون في شركة الأمن ESET إنهم وجدوا دليلاً على أن RomCom جمعت بين استخدام خللتي يوم الصفر – الموصوفتين على هذا النحو لأن صانعي البرامج لم يكن لديهم الوقت الكافي لطرح الإصلاحات قبل استخدامها لاختراق الأشخاص – لإنشاء “نقرة صفر”. استغلال، والذي يسمح للمتسللين بزرع البرامج الضارة عن بعد على جهاز الكمبيوتر المستهدف دون أي تدخل من المستخدم.

وقال داميان شيفر ورومان دومونت، الباحثان في شركة ESET، في تدوينة يوم الاثنين: “يُظهر هذا المستوى من التطور قدرة ممثل التهديد ونيته في تطوير أساليب الهجوم الخفي”.

سيتعين على أهداف RomCom زيارة موقع ويب ضار تسيطر عليه مجموعة القرصنة من أجل تفعيل عملية استغلال النقر الصفري. بمجرد استغلاله، سيتم تثبيت الباب الخلفي لـ RomCom على كمبيوتر الضحية، مما يسمح بالوصول الواسع إلى جهاز الضحية.

أخبر شيفر موقع TechCrunch أن عدد الضحايا المحتملين من حملة القرصنة التي تقوم بها RomCom تراوح من ضحية واحدة في كل دولة إلى ما يصل إلى 250 ضحية، مع وجود غالبية الأهداف في أوروبا وأمريكا الشمالية.

قامت Mozilla بتصحيح الثغرة الأمنية في Firefox في 9 أكتوبر، بعد يوم واحد من تنبيه ESET صانع المتصفح. كما قام مشروع Tor، الذي يقوم بتطوير متصفح Tor استنادًا إلى قاعدة بيانات Firefox، بتصحيح الثغرة الأمنية؛ على الرغم من أن شيفر أخبر موقع TechCrunch أن شركة ESET لم تر أي دليل على استغلال متصفح Tor خلال حملة القرصنة هذه.

قامت Microsoft بتصحيح الثغرة الأمنية التي تؤثر على Windows في 12 نوفمبر. وقام باحثون أمنيون في مجموعة تحليل التهديدات التابعة لشركة Google، والتي تحقق في الهجمات والتهديدات الإلكترونية المدعومة من الحكومة، بإبلاغ Microsoft بالخلل، مما يشير إلى أنه ربما تم استخدام هذا الاستغلال في حملات قرصنة أخرى مدعومة من الحكومة.