Des chercheurs en sécurité ont découvert deux vulnérabilités Zero Day jusqu’alors inconnues qui sont activement exploitées par RomCom, un groupe de piratage lié à la Russie, pour cibler les utilisateurs du navigateur Firefox et les propriétaires d’appareils Windows en Europe et en Amérique du Nord.
RomCom est un groupe de cybercriminalité connu pour mener des cyberattaques et autres intrusions numériques pour le compte du gouvernement russe. Le groupe – qui a été associé le mois dernier à une attaque de ransomware visant le géant japonais de la technologie Casio – est également connu pour sa position agressive contre les organisations alliées à l’Ukraine, envahie par la Russie en 2014.
Des chercheurs de la société de sécurité ESET affirment avoir trouvé des preuves que RomCom a combiné l’utilisation des deux bugs du jour zéro – décrits comme tels parce que les fabricants de logiciels n’ont pas eu le temps de déployer des correctifs avant de les utiliser pour pirater des personnes – pour créer un « zéro clic ». exploit, qui permet aux pirates informatiques d’installer à distance des logiciels malveillants sur l’ordinateur d’une cible sans aucune interaction de l’utilisateur.
« Ce niveau de sophistication démontre la capacité et l’intention des acteurs malveillants de développer des méthodes d’attaque furtives », Damien Schaeffer et Romain Dumont, chercheurs d’ESET. a déclaré lundi dans un article de blog.
Les cibles de RomCom devraient visiter un site Web malveillant contrôlé par le groupe de piratage afin de déclencher l’exploit sans clic. Une fois exploitée, la porte dérobée éponyme de RomCom serait installée sur l’ordinateur de la victime, permettant un large accès à l’appareil de la victime.
Schaeffer a déclaré à TechCrunch que le nombre de victimes potentielles de la campagne de piratage « généralisée » de RomCom variait d’une seule victime par pays à jusqu’à 250 victimes, la majorité des cibles étant basées en Europe et en Amérique du Nord.
Mozilla a corrigé la vulnérabilité dans Firefox le 9 octobre, un jour après qu’ESET a alerté le fabricant du navigateur. Le projet Tor, qui développe le navigateur Tor basé sur la base de code de Firefox, a également corrigé la vulnérabilité ; bien que Schaeffer ait déclaré à TechCrunch qu’ESET n’a vu aucune preuve que le navigateur Tor a été exploité au cours de cette campagne de piratage.
Microsoft a corrigé la vulnérabilité affectant Windows le 12 novembre. Les chercheurs en sécurité du groupe d’analyse des menaces de Google, qui enquête sur les cyberattaques et menaces soutenues par le gouvernement, a signalé le bug à Microsoft, suggérant que l’exploit pourrait avoir été utilisé dans d’autres campagnes de piratage soutenues par le gouvernement.