Az ESET kiberbiztonsági szakemberei által feltárt információk szerint az orosz állami támogatású hackercsoportok 2023 óta folyamatosan hozzáfértek különböző kormányzati szervek elektronikus levelezéséhez Kelet-Európában, Afrikában és Latin-Amerikában. A szakértők által RoundPress néven azonosított támadássorozat során a Fancy Bear (más néven APT28) elnevezésű orosz hackercsoport olyan sebezhetőségeket használt ki, amelyek korábban ismeretlenek voltak a biztonsági szakemberek előtt.

A támadók többek között Görögország, Ukrajna, Szerbia, Bulgária, Románia, Kamerun és Ecuador kormányzati szerveinek rendszereit célozták meg. A behatoláshoz kifinomult módszert alkalmaztak, ugyanis látszólag ártalmatlan, napi politikai eseményekről szóló e-maileket küldtek a kiszemelt áldozatoknak, amelyek HTML-törzsében azonban kártékony JavaScript kód rejtőzött.

A kártevő program a webmail böngészőoldalon található cross-site scripting (XSS) sebezhetőséget kihasználva láthatatlan beviteli mezőket hozott létre, amelyekbe a böngészők és jelszókezelők automatikusan betöltötték a bejelentkezési adatokat. A program emellett képes volt a DOM olvasására és HTTP kérések küldésére is, aminek segítségével e-mail üzeneteket, kapcsolatokat, webmail beállításokat és kétfaktoros hitelesítési információkat gyűjtött.

Összetett volt a támadás

Az ESET szakemberei szerint a hagyományos adathalász támadásokkal ellentétben ezekben az esetekben nem volt szükség az áldozat aktív közreműködésére, elegendő volt az e-mail megnyitása a fertőzéshez. Bár a kártevő program nem rendelkezett állandó működést biztosító mechanizmussal, és csak az e-mail megnyitásakor futott, ez általában elegendőnek bizonyult, mivel a felhasználók ritkán változtatják meg e-mail fiókjuk jelszavát.

A biztonsági kutatók több sebezhetőséget is azonosítottak, amelyeket a támadók kihasználtak. Ezek között szerepelt két XSS sebezhetőség a Roundcube rendszerben, egy korábban ismeretlen XSS sebezhetőség az MDaemon szoftverben, egy azonosítatlan XSS a Horde rendszerben, valamint egy XSS sebezhetőség a Zimbra levelezőrendszerben.

Az áldozatok között kormányzati szervezetek, katonai intézmények, védelmi vállalatok és kritikus infrastruktúrát üzemeltető cégek egyaránt megtalálhatók voltak.