Eine mit dem Kreml verbundene Hackergruppe hat eine Schwachstelle in Firefox ausgenutzt, um Cyberangriffe auf verschiedene Ziele in Europa und Nordamerika durchzuführen. Die Angriffe nutzten Zero-Day-Schwachstellen in Mozilla-Anwendungen, die es den Angreifern ermöglichten, eine Backdoor auf den Systemen ihrer Opfer zu installieren.
Details zum Angriff
Laut einem Bericht der Sicherheitsfirma ESET nutzte die als RomCom bekannte Hackergruppe Zero-Day-Schwachstellen in Firefox und Windows, um Spionage zu betreiben. Die ausgenutzten Schwachstellen, identifiziert als CVE-2024-9680 und CVE-2024-49039, ermöglichten den Angreifern, schädlichen Code auszuführen, ohne dass eine Benutzerinteraktion erforderlich war – ein sogenannter Zero-Click-Exploit.
Die Hacker leiteten ihre Opfer auf bösartige Webseiten um, die als legitime Unternehmen getarnt waren. Von dort aus lud der Exploit die Backdoor auf die anfälligen Computer herunter und führte sie aus. Diese Methode wurde über 10 Monate lang genutzt, bevor Mozilla einen Patch veröffentlichte, um das Problem zu beheben.
Betroffene Länder
Zu den betroffenen Ländern gehören Deutschland, Frankreich, Spanien, Mexiko, die Vereinigten Staaten und Kanada. ESET-Forscher stellten fest, dass die Anzahl der Opfer von einem einzigen Fall pro Land bis zu 250 variiert. Laut Telemetrieanalysen verzeichneten Frankreich, Deutschland und Tschechien die meisten Vorfälle, gefolgt von Spanien und den Vereinigten Staaten.
Reaktion von Mozilla und Microsoft
Die Forscher informierten Mozilla am 8. Oktober über die Schwachstellen, woraufhin das Unternehmen am nächsten Tag ein Update für Firefox und Thunderbird veröffentlichte. Microsoft veröffentlichte ebenfalls einen Patch zur Behebung der Schwachstelle im Windows-Taskplaner am 12. November.
Die Gruppe RomCom und ihre Operationen
RomCom, auch bekannt als Storm-0978 oder Tropical Scorpius, ist eine Hackergruppe, die mit den Interessen des Kremls in Einklang steht. Sie hat zahlreiche Spionageoperationen gegen kommerzielle und staatliche Ziele durchgeführt, insbesondere im Kontext des Krieges in der Ukraine. Zu ihren jüngsten Aktivitäten gehört ein Ransomware-Angriff auf das Unternehmen Casio, bei dem vertrauliche Daten veröffentlicht wurden.
Ein globaler Kontext von Cyberangriffen
Die Entdeckung dieser Angriffe erfolgt kurz nach einem Kettenangriff, der von der Gruppe ATP28 durchgeführt wurde, die ebenfalls mit Russland in Verbindung steht. Diese Angriffe unterstreichen die Raffinesse und Hartnäckigkeit von Hackern, die mit staatlichen Interessen verbunden sind und darauf abzielen, neue Techniken zur Infiltration von Schlüsselsystemen zu nutzen.
