Saugumo ekspertai atskleidė didelio masto operaciją, kuri iki šiol liko beveik nepastebėta. Manoma, kad Kinijos įsilaužėlių grupuotė „DarkSpectre“ slapta užkrėtė daugiau nei 8,8 mln. „Chrome“, „Edge“ ir „Firefox“ naudotojų — naudojant iš pažiūros nekenksmingus naršyklės plėtinius.
Tai ne vienkartinė kampanija. Tyrėjai nustatė, kad ši grupė veikė net septynerius metus, kaitaliodama taktikas ir tikslus — nuo paprasto sukčiavimo iki sistemingo šnipinėjimo.
Kaip veikė „nematomas“ užkratas?
Analitikai iš kibernetinio saugumo bendrovės „Koi“ nustatė, kad „DarkSpectre“ kūrė ir platino plėtinius, kurie ilgą laiką elgėsi visiškai normaliai.
Tik vėliau, po savaičių ar net metų, jie pradėdavo vykdyti kenkėjiškas komandas. Kai kurie plėtiniai įsijungdavo tik vienoje iš dešimties puslapio peržiūrų, todėl aptikti juos buvo itin sunku.
Be to, kenkėjiškas kodas buvo slepiamas vaizdo failuose ir vykdomas naudojant „JavaScript“. Tokia technika leidžia apeiti daugumą įprastų saugumo patikrų.
Trijų didžiausių kampanijų mastas
Per kelias dideles operacijas užkrėsti milijonai vartotojų. Tarp jų:
- „ShadyPanda“ – paveikta apie 5,6 mln. naudotojų
- „Zoom Stealer“ – užkrėsta 2,2 mln. naudotojų
- „GhostPoster“ – paveikta 1,05 mln. naudotojų
Dalis kampanijų rinko prisijungimo duomenis, kita dalis — slapta stebėjo vartotojų veiklą, o kai kurios suteikė įsilaužėliams kontrolę įrenginiuose.
Kodėl plėtiniai buvo tokie pavojingi?
Naršyklės plėtiniai paprastai atrodo patikimi — jie siūlo patogias funkcijas: orų valdiklius, vertėjus, tvarkykles.
„DarkSpectre“ tuo pasinaudojo: daugiau nei 100 plėtinių įvairiose parduotuvėse veikė kaip „Trojos arkliai“. Kai apie juos pamiršdavo ir naudotojai, ir saugumo specialistai, jų kūrėjai galėdavo nuotoliniu būdu pakeisti funkcionalumą — be naujo atnaujinimo.
Tai reiškia, kad kenkėjiškas kodas buvo įkeliamas tiesiai iš serverių. Todėl net ištrynus dalį plėtinių, kiti išlikdavo aktyvūs.
Kokios grėsmės laukė vartotojų?
Kenkėjiška programinė įranga galėjo:
- vogti slaptažodžius ir asmeninę informaciją,
- keisti naršyklės nustatymus,
- perimti įrenginių valdymą,
- šnipinėti veiklą ir svetaines, kuriose lankosi naudotojai.
Kai kuriais atvejais įsilaužėliai galėdavo manipuliuoti rodoma informacija ar net nukreipti vartotojus į padirbtas svetaines.
Kodėl niekas to nepastebėjo?
Atsakymas paprastas: kantrybė ir rafinuotumas.
Plėtiniai:
- aktyvuodavo kenkėjišką kodą tik epizodiškai,
- laukdavo kelias dienas ar savaites,
- naudojo teisėtai atrodančius domenus,
- buvo skirti kelioms naršyklėms vienu metu.
Tokio modelio aptikti beveik neįmanoma, jei nesi tiksliai nukreiptas į tyrimą.
Ką turi žinoti kiekvienas interneto naudotojas?
Ekspertai pabrėžia: ši istorija dar kartą parodė, kad pavojus slypi ne tik „įtartinose svetainėse“.
Didžiausia rizika — įprasti įrankiai, kuriuos įdiegiame patys. Plėtiniai, kurie atrodo patogūs, gali tapti vartais į mūsų duomenis.
Įdomi ir svarbi detalė: kibernetiniai nusikaltėliai tokias taktikas gali naudoti net ir populiarių dirbtinio intelekto platformų aplinkoje, todėl ir „ChatGPT“ naudotojai raginami saugotis įtartinų nuorodų bei „stebuklingų“ įrankių.
Kas yra kenkėjiška programa — paprastai
„Kenkėjiška programa“ — tai bendras terminas visoms programoms, kurios kenkia įrenginiams ar duomenims. Į ją įeina:
- virusai,
- Trojos arkliai,
- šnipinėjimo programos,
- reklaminių langų generuotojai,
- išpirkos reikalaujančios programos.
Jos gali patekti per atsisiuntimus, el. laiškus, padirbtus atnaujinimus ar nepatikimas svetaines — dažnai taip tyliai, kad naudotojas nieko nepastebi.
Išvada: „nematoma“ grėsmė, kuri lieka su mumis
„DarkSpectre“ istorija atskleidžia, kaip lengvai įprasti naršymo įpročiai gali atsiverti kibernetinėms atakoms. Grupė pasinaudojo tuo, kuo pasitikime labiausiai — naršyklės plėtiniais — ir pavertė juos slaptais įrankiais. Tyrimai tęsiami, o saugumo bendruomenė dabar kruopščiai analizuoja visus su šia kampanija susijusius plėtinius.
Šaltinis: https://www.chip.de/news/software/hackergruppe-infizierte-heimlich-8-8-millionen-nutzer-ueber-browser-erweiterungen_6f0dcc0a-17a8-4c07-a850-b53bb346f834.html
