انتشار شده در تاریخ 1403/10/09 - 08:45

هک کارمند یک استارتاپ سایبری برای توزیع یک افزونه مخرب کروم

یک عامل تهدید ناشناس یک حساب کاربری با دسترسی مدیر در یک استارتاپ امنیت داده را هک کرده و از آن برای توزیع یک به‌روزرسانی مخرب برای افزونه مرورگر کروم استفاده کرده است.

به گزارش کارگروه امنیت خبرگزاری سایبربان، شرکت امنیتی سوئیسی سایبرهیون (Cyberhaven) اعلام کرد که این حمله در روز کریسمس رخ داده و شرکت توانسته است که بسته مخرب را ظرف 60 دقیقه پس از شناسایی از فروشگاه وب کروم حذف کند.

مرورگرهایی که از این افزونه آسیب‌دیده استفاده می‌کردند، به مدت بیش از 30 ساعت در معرض سوءاستفاده قرار داشتند.

به گفته سایبرهیون، مهاجمان می‌توانستند اطلاعات حساس قربانیان، از جمله نشست‌های تأیید هویت شده و کوکی‌ها، را استخراج کنند.

طی یک ایمیل به مشتریان، سایبرهیون اظهار داشت که یکی از کارکنانش هدف یک حمله پیشرفته قرار گرفته است.

پژوهشگران خارج از شرکت پیشنهاد دادند که احتمالاً حساب کاربری مدیر از طریق یک ایمیل فیشینگ به خطر افتاده است.

سایبرهیون در زمینه کمک به سازمان‌ها برای مقابله با تهدیدات داخلی تخصص دارد.

افزونه مرورگر این شرکت ابزار اصلی برای نظارت و مسدود کردن استخراج داده‌ها است و اطلاعات ارسال‌شده از طریق ایمیل‌ها، ابزارهای هوش مصنوعی و برنامه‌های وب را دنبال می‌کند.

مشخص نیست که چه تعداد افراد تحت تأثیر این حمله قرار گرفته‌اند یا هدف اصلی هکرها چه بوده است.

سایبرهیون اعلام کرد که تحقیقات همچنان ادامه دارد و شرکت امنیت سایبری ماندیانت (Mandiant) که متعلق به گوگل است، و همچنین پلیس فدرال در این تحقیقات همکاری می‌کنند.

این شرکت به مشتریان خود توصیه کرد که افزونه را به‌روزرسانی کرده، رمزهای عبور و توکن‌ها را تغییر داده، نشست‌ها را پاک نموده و گزارش‌ها را برای هرگونه فعالیت مشکوک بررسی کنند.

با این حال، این شرکت توصیه کرد که برای حفظ شواهد مربوط به کد مخرب، افزونه را حذف نکنند.

در ماه ژوئن، سایبرهیون طی یک دور سرمایه‌گذاری به رهبری شرکت سهام خصوصی آمریکایی آدامز استریت پارتنرز (Adams Street Partners)، موفق به جذب 88 میلیون دلار سرمایه شد که ارزش شرکت را به 488 میلیون دلار رساند.

وب‌سایت سایبرهیون مشتریان بزرگی مانند کنون (Canon)، ردیت (Reddit( و موتورولا (Motorola) را در لیست خود دارد.

حمله اخیر به سایبرهیون فقط ماشین‌هایی را تحت تأثیر قرار داد که از مرورگرهای مبتنی بر کروم استفاده می‌کردند و از طریق فروشگاه وب گوگل کروم به‌روزرسانی شده بودند.

تحلیلگران امنیتی اشاره کردند که افزونه‌های دیگری نیز ممکن است با استفاده از کد مخرب مشابه تحت تأثیر قرار گرفته باشند.

آن‌ها بیش از دوازده دامنه مشکوک مرتبط با زیرساخت مهاجمان شناسایی کردند.

پژوهشگر امنیتی، مت جانسون در یک پست وبلاگی در روز پنج‌شنبه نوشت:

این رخنه نشان می‌دهد که چگونه ابزارهای امنیتی مورد اعتماد می‌توانند علیه کاربران به‌کار گرفته شوند، به ویژه زمانی که حمله در فصل تعطیلات انجام شده و تیم‌های امنیتی معمولاً با نیروهای کمتری فعالیت می‌کنند.

وی همچنین هشدار داد که افزونه‌های مرورگر نباید دست کم گرفته شوند، زیرا به داده‌های عمیق مرورگر، از جمله نشست‌های تأیید هویت شده و اطلاعات حساس، دسترسی دارند.

همچنین، افزونه‌ها به‌روزرسانی آسانی دارند و اغلب مانند نرم‌افزارهای سنتی تحت بررسی دقیق قرار نمی‌گیرند.

او اضافه کرد:

ویژگی به‌روزرسانی خودکار افزونه‌ها به این معناست که وقتی مهاجمی کانال توزیع افزونه‌ای را به خطر بیندازد، می‌تواند کد مخرب را بلافاصله به همه کاربران ارسال کند.