Operacija RedDirection: Ugroženo 4,3 miliona internet pregledača

AUTOR ·

Operacija RedDirection je identifikovana od strane sigurnosnih istraživača kompanije Koi kao napad na lanac snabdijevanja, kojim je ugrožen mehanizam ažuriranja popularnih proširenja internet pregledača. Ovaj slučaj posebno naglašava značaj bezbjednog razvoja i pravilne implementacije softvera u sprječavanju i ublažavanju sličnih prijetnji.

RedDirection

Operacija RedDirection: Ugroženo 4,3 miliona internet pregledača; Source: Bing Image Creator

OPERACIJA REDDIRECTION

Otkriće operacije RedDirection rasvijetlilo je sedmogodišnju aktivnost proširenja za internet pregledače koja je ugrozila najmanje 4,3 miliona Chrome i Edge korisnika širom svijeta. Akter označen kao ShadyPanda sistematski je zloupotrebljavao tržišta internet pregledača, pretvarajući naizgled legitimna proširenja u platforme za dugoročni nadzor i daljinski pristup.

Način rada ShadyPanda zasnivao se na izgradnji povjerenja sa žrtvama kroz objavljivanje proširenja na renomiranim tržištima, poput Google Chrome prodavnice i Microsoft Edge Addons. Proširenja su često bila istaknuta i provjerena, što im je davalo trenutni kredibilitet i omogućavalo masovnu distribuciju. Takav pristup omogućio je da se vremenom akumulira velika baza korisnika.

Istraga operacije RedDirection otkrila je i dvije tekuće kampanje povezane sa istim akterom.

 

RCE kampanja sa tajnim pristupom

Prva identifikovana kampanja kompanije ShadyPanda obuhvatila je pet proširenja za internet pregledač opremljenih tajnim pristupom (eng. backdoor) za daljinsko izvršavanje kôda (RCE). Ta proširenja su godinama funkcionisala legitimno, sve dok nisu kompromitovana i preokrenuta sredinom 2024. godine kroz tiha ažuriranja.

Među pogođenima su “Istaknuto” i “ProvjerenoClean Master, nekada smatrano pouzdanim zbog istaknutog položaja u Google Chrome prodavnici. Ostala četiri dodatka takođe su izgledala legitimno, ali ih je ShadyPanda tiho izmijenio kako bi olakšao napade daljinskog izvršavanja kôda.

Jednom kada budu kompromitovana, proširenja se svakog sata povezuju sa infrastrukturom zlonamjernog aktera, preuzimajući proizvoljni JavaScript kôd i izvršavajući ga sa punim pristupom API internet pregledača. Time se omogućava praćenje svake posjećene stranice, izvlačenje šifrovane istorije pregledanja i prikupljanje detaljnih digitalnih otisaka (eng. fingerprints) u svrhu dugoročnog nadzora.

Sposobnost da se izvršava proizvoljni JavaScript kôd daje ShadyPanda akterima neograničen pristup sesiji pregledanja korisnika, što im omogućava prikupljanje osjetljivih podataka poput prijava, brojeva kreditnih kartica i drugih ličnih informacija. Ovaj nivo pristupa takođe im daje mogućnost ubrizgavanja zlonamjernih skripti na stranice koje žrtve posjećuju, dodatno ugrožavajući njihovu bezbjednost.

Satne provjere kompromitovanih proširenja sa infrastrukturom zlonamjernog aktera imaju višestruku svrhu: održavanje kontrole nad inficiranim pregledačima i besprijekorno sprovođenje ažuriranja zlonamjernog softvera; izvlačenje podataka radi prikupljanja vrijednih informacija o navikama korisnika; te olakšavanje bočnog kretanja unutar kompromitovanih mreža.

 

Operacija špijunskog softvera

Druga kampanja koju su istraživači identifikovali predstavlja opsežnu operaciju špijunskog softvera sprovedenu kroz pet dodatnih proširenja objavljenih na Microsoft Edge Addons. Ovaj napor već je zahvatio više od 4 miliona korisnika širom svijeta, a vodeće proširenje WeTab 新标签页 (WeTab New Tab Page) bilježi oko 3 miliona instalacija.

Primarna funkcija WeTab jeste snimanje svakog URL koji žrtve posjete, zajedno sa njihovim upitima za pretragu i klikovima mišem. Prikupljeni podaci se zatim prenose na servere u Kini, gdje se analiziraju u različite svrhe – od ciljanog oglašavanja do ozbiljnijih aktivnosti poput krađe identiteta.

Preostala četiri proširenja uključena u kampanju takođe djeluju legitimno, ali ih je ShadyPanda tiho izmijenio kako bi služila radu špijunskog softvera. Njihove funkcije vjerovatno su slične WeTab, iako se razlikuju po stepenu složenosti i obimu.

Ovaj nadzorni napor ima ozbiljne posljedice po bezbjednost korisnika, jer omogućava zlonamjernim akterima da prikupljaju osjetljive informacije o navikama pregledanja bez vidljivih znakova ili upozorenja. Sama razmjera kampanje dodatno izaziva zabrinutost zbog mogućnosti manipulacije ponašanjem korisnika putem ciljanog oglašavanja ili drugih metoda.

 

Evolucija

Najznačajnija promjena kod zlonamjernih aktera ShadyPanda dogodila se tokom Faze 3, nazvane “The Long Game” (Duga igra). Ova faza označila je prekretnicu u razvoju operacije, jer su tri proširenja postavljena na tržište internet pregledača između 2018. i 2019. godine. Među njima je Clean Master, koje je u tom periodu dostiglo preko 200.000 instalacija.

Rana proširenja funkcionisala su bez incidenata nekoliko godina, zarađujući značke “Istaknuto” i “Provjereno” od strane kompanije Google. Period prividnog mira prikrivao je zlonamjernu namjeru, jer su akteri ShadyPanda tiho pratili instalacije kako bi optimizovali doseg i postavili temelje za buduće iskorištavanje. Njihovo čisto funkcionisanje služilo je kao trojanski konj, stičući povjerenje korisnika dok je prava svrha ostajala skrivena.

Benigno ponašanje ovih ranih proširenja bilo je posebno značajno. Dizajnirana su da se besprijekorno uklope sa legitimnim dodacima internet pregledača, što ih je činilo teškim za razlikovanje od originalnog softvera. Ovaj prikriveni pristup omogućio je ShadyPanda akterima da prikupljaju podatke o navikama i preferencijama korisnika, a da pritom ne izazivaju sumnju. Sposobnost da rade čisto tokom dužeg perioda svjedoči o pažljivo osmišljenom dizajnu.

Zlonamjerno ažuriranje objavljeno sredinom 2024. godine označilo je naglu promjenu. Preko noći, više od 300.000 internet pregledača pretvoreno je u botnet mreže sposobne za daljinsko izvršavanje kôda (RCE), sa petljom komandovanja i kontrole koja se aktivirala svakog sata. Ova iznenadna promjena pokazuje sposobnost aktera da prilagođavaju svoje operacije po potrebi.

Tehnički detalji Faze 3 bili su podjednako upečatljivi. Zlonamjerni softver izvlačio je kompletnu istoriju pregledanja sa vremenskim oznakama i podacima o izvorima posjećenih stranica, čuvajući identifikatore putem chrome.storage.sync. Servisni agent presretao je i mijenjao mrežni saobraćaj, otvarajući mogućnosti za krađu podataka za prijavu, otmicu sesije i ubrizgavanje sadržaja na bilo koju stranicu – uključujući i one obezbijeđene HTTPS protokolom.

Zamagljivanje i anti-analiza bile su sastavni dijelovi opterećenja u Fazi 3. Kada bi se otvorili alati za programere, softver bi se vraćao u benigno ponašanje, otežavajući stručnjacima analizu unutrašnjeg rada. Ovaj nivo prikrivanja naglašava posvećenost aktera izbjegavanju otkrivanja.

U Fazi 4, ShadyPanda se proširio preko izdavača Starlab Technology na Edge pregledaču, sa pet proširenja koja su zajedno prešla 4 miliona instalacija. WeTab i srodna proširenja bila su posebno značajna, jer su prikupljala istoriju pregledanja u realnom vremenu, upite za pretragu, pokrete miša, podatke o interakciji sa stranicama i sadržaj skladišta.

Ova proširenja slala su podatke na više domena u Kini, zajedno sa Google Analytics. Širina dozvola koje su im dodijeljene bila je zapanjujuća – automatska ažuriranja i javna dostupnost značili su da akteri mogu u svakom trenutku da ih pretvore u tajni pristup za daljinsko izvršavanje kôda. Ovaj nivo kontrole pokazuje njihovu sposobnost prilagođavanja okolnostima.

Tehnički detalji WeTab i srodnih proširenja jednako su vrijedni pažnje. Radila su sa širokim dozvolama, omogućavajući neograničen pristup podacima i navikama korisnika. Automatska ažuriranja osiguravala su da proširenja ostanu aktivna i spremna za prilagođavanje novim situacijama.

Činjenica da su ova proširenja i dalje javno dostupna znači da ih korisnici nastavljaju instalirati, često nesvjesni njihove prave svrhe ili potencijala za zloupotrebu. To ukazuje na širi problem tržišta internet pregledača, gdje se zlonamjerni akteri mogu neprimjetno uklopiti među legitimne programere i doći do osjetljivih informacija.

 

Pogođena proširenja

Neka od identifikovanih proširenja na Chrome i Edge internet pregledačima su navedena ispod:

  • Clean Master: the best Chrome Cache Cleaner
  • Speedtest Pro-Free Online Internet Speed Test
  • BlockSite
  • Address bar search engine switcher
  • SafeSwift New Tab
  • Infinity V+ New Tab
  • OneTab Plus:Tab Manage & Productivity
  • WeTab 新标签页
  • Infinity New Tab for Mobile
  • Infinity New Tab (Pro)
  • Infinity New Tab
  • Dream Afar New Tab
  • Download Manager Pro
  • Galaxy Theme Wallpaper HD 4k HomePage
  • Halo 4K Wallpaper HD HomePage

 

UTICAJ

Uticaj operacije RedDirection bio je značajan, sa preko 4,3 miliona ugroženih Chrome i Edge korisnika širom svijeta putem zlonamjernih proširenja distribuiranih kroz prodavnice Google Chrome i Microsoft Edge.

Ova koordinisana kampanja ukazala je na kritičnu slabost u ekosistemima proširenja internet pregledača, koja pogađa i pojedince i poslovne organizacije. Rasprostranjenost operacije RedDirection ozbiljno utiče na povjerenje korisnika u digitalne usluge.

Pošto su zlonamjerna proširenja u početku djelovala benigno i bila široko pouzdana zahvaljujući pozitivnim recenzijama i verifikovanim značkama, korisnici su manje skloni da provjeravaju ažuriranja ili autentičnost dodataka. Ovaj nedostatak pažnje stvorio je okruženje pogodno za iskorištavanje od strane zlonamjernih aktera.

Ugroženi podaci prikupljeni kroz operaciju RedDirection predstavljaju ozbiljan rizik za pogođene pojedince i organizacije. Osjetljive informacije mogu dovesti do krađe identiteta, finansijskih gubitaka ili narušavanja reputacije ako budu iskorištene. Zbog toga je neophodno da korisnici i organizacije preduzmu proaktivne mjere radi ublažavanja ovih prijetnji.

Ekonomski uticaj operacije RedDirection ne može se umanjiti. Sa milionima ugroženih korisnika, potencijalni gubici zbog phishing prevara, infekcija zlonamjernim softverom ili drugih sajber prijetnji su veliki. Pored toga, reputaciona šteta koju pretrpe pogođene organizacije može izazvati značajne finansijske posljedice kroz gubitak poslovanja i prihoda.

Osim direktnih posljedica, operacija RedDirection istakla je širi problem bezbjednosti lanca snabdijevanja unutar ekosistema proširenja internet pregledača. Lakoća kojom zlonamjerni akteri mogu da ugroze pouzdane dodatke naglašava potrebu za strožim procesima provjere i boljom kontrolom mehanizama ažuriranja.

 

ZAKLJUČAK

Operacija RedDirection predstavlja primjer kako zlonamjerni akteri mogu da iskoriste povjerenje u ekosisteme proširenja internet pregledača i ugroze milione korisnika. Uspeh kampanje zasnivao se na korištenju zvaničnih prodavnica, pozitivnih recenzija i verifikovanih znački za distribuciju 18 proširenja koja su u početku bila legitimna, ali su kasnije pretvorena u oružje kroz zlonamjerna ažuriranja.

Proširenja su pružala stvarnu funkcionalnost, akumulirala stotine hiljada instalacija i dobijala pozitivne povratne informacije od korisnika, sve dok zlonamjerni akteri nisu unijeli kôd putem ažuriranja. Ovakav napad na lanac snabdijevanja omogućio je da proširenja ostanu neotkrivena duže vrijeme, jer su njihove prve verzije bile čiste, a tek kasnije su pokazivale zlonamjerno ponašanje.

Uticaj kampanje bio je ogroman, sa preko 4,3 miliona ugroženih Chrome i Edge korisnika u pojedinačnim i poslovnim okruženjima. Iskorištavanje povjerenja svojstvenog ekosistemima proširenja pregledača ukazalo je na ozbiljnu slabost koja zahtijeva hitnu pažnju programera, stručnjaka za bezbjednost i samih korisnika radi ublažavanja postojećih rizika.

Operacija RedDirection pokazuje značaj kontinuiranog praćenja i ažuriranja proširenja kako bi se spriječili slični napadi u budućnosti. Takođe naglašava potrebu za jačim procesima provjere unutar zvaničnih prodavnica radi očuvanja integriteta distribuiranog softvera.

Uspeh kampanje svjedoči o domišljatosti zlonamjernih aktera koji prilagođavaju svoje taktike kako bi iskoristili slabosti u naizgled bezbjednim sistemima. Kao takva, operacija RedDirection služi kao upozorenje svim učesnicima u ekosistemima proširenja pregledača da ponovo procijene i ojačaju bezbjednosne mjere.

Pored toga, operacija RedDirection ukazuje na potrebu za efikasnijom saradnjom između programera, stručnjaka za bezbjednost i korisnika kako bi se spriječili budući napadi.

 

PREPORUKE

Zaštita od operacije RedDirection zahtijeva budnost i proaktivne mjere kako od pojedinaca, tako i od organizacija. Prateći sljedeće preporuke, moguće je značajno unaprijediti bezbjednosni položaj u odnosu na RedDirection i slične napade:

  1. Korisnici bi trebalo redovno da provjeravaju instalirana proširenja pregledača i uklone sve sumnjive ili nepoznate dodatke. To se može uraditi posjetom stranici Chrome prodavnice ili Microsoft Edge dodataka, gdje je dostupna lista svih trenutno instaliranih proširenja.
  2. Prilikom instaliranja novih proširenja, korisnici moraju pažljivo da ispitaju tražene dozvole i da se uvjere da su u skladu sa predviđenom funkcionalnošću proširenja. Korisnici ne bi trebalo da odobravaju pretjeran pristup osjetljivim podacima bez razumijevanja zašto je to potrebno.
  3. Pojedinci mogu da prate svoju istoriju pregledanja za sve neobične obrasce ili sumnjive internet stranice koje su posjećivali. Ovo može ukazivati na to da je instalirano zlonamjerno proširenje, što korisnicima omogućava da brzo preduzmu korektivne mjere.
  4. Osiguravanje da su pregledači i proširenja ažurirani najnovijim bezbjednosnim ispravkama ključno je za sprječavanje iskorištavanja poznatih slabosti. Korisnici bi trebalo redovno da provjeravaju dostupna ažuriranja i instaliraju ih čim postanu dostupna.
  5. Preuzimati proširenja internet pregledača samo iz pouzdanih izvora, kao što su zvanična Chrome internet prodavnica ili stranica sa dodacima za Microsoft Edge. Izbjegavati internet stranice trećih strana koje mogu distribuirati zlonamjerni softver prikriven kao legitimna proširenja.
  6. Zlonamjerni akteri često kreiraju lažne recenzije kako bi njihova kompromitovana proširenja izgledala pouzdano i popularno. Korisnici treba da budu oprezni sa previše pozitivnim ocjenama bez odgovarajućih komentara korisnika, što može ukazivati na koordinisane napore zlonamjernog aktera.
  7. Organizacije moraju uspostaviti jasne smjernice za zaposlene u vezi sa instaliranjem i korištenjem proširenja internet pregledača u radnom okruženju. Ovo uključuje navođenje odobrenih proširenja i procedura za prijavljivanje sumnjivih aktivnosti.
  8. Redovno treba pregledati instalirani softver na svim uređajima kompanije kako bi se otkrili neovlašteni ili zlonamjerni dodaci, uključujući kompromitovana proširenja internet pregledača.
  9. Edukacija zaposlenih o rizicima povezanim sa operacijom RedDirection može pomoći u sprječavanju sličnih incidenata u budućnosti. Ovo uključuje razumijevanje kako zlonamjerni akteri iskorištavaju pouzdane izvore i mehanizme ažuriranja za svoju korist.
  10. Organizacije moraju imati uspostavljenu proceduru za brzo i efikasno reagovanje kada dođe do ugrožavanja bezbjednosti, uključujući kompromitovana proširenja internet pregledača.
  11. Instaliranje renomiranih rješenja protiv zlonamjernog softvera može pomoći u otkrivanju i uklanjanju zlonamjernih proširenja koja mogu biti instalirane na uređajima kompanije bez znanja ili saglasnosti korisnika.
  12. Segmentiranje mreža u izolovane segmente na osnovu funkcije može ograničiti širenje zlonamjernog softvera u slučaju da se otkriju ugrožena proširenja, sprječavajući dalju štetu na kritičnim sistemima.
  13. Organizacije moraju redovno procjenjivati svoju upotrebu eksternih biblioteka i usluga u okviru projekata razvoja softvera za sve potencijalne bezbjednosne rizike ili ranjivosti koje bi mogli da iskoriste zlonamjerni akteri poput onih koji stoje iza operacije RedDirection.
  14. Implementacija zaštitnog zida za mrežne aplikacije (eng. web application firewall – WAF) može pružiti dodatni sloj zaštite od zlonamjernih aktivnosti filtriranjem sumnjivih obrazaca saobraćaja koji mogu ukazivati na to da se ugrožena proširenja internet pregledača koriste za pokretanje napada na resurse kompanije.
  15. Zahtijevanje od korisnika da se prijave i lozinkom i jedinstvenim tokenom ili biometrijskim podatkom dodaje dodatnu prepreku zlonamjernim akterima koji pokušavaju da pristupe osjetljivim sistemima koristeći kompromitovana proširenja pregledača. Uvođenje autentifikacije u dva koraka (eng. two-factor authentication – 2FA) značajno povećava otpornost korisnika i organizacija na uspješne napade.
  16. Redovna analiza sistemskih aktivnosti može pomoći u identifikaciji potencijalnih bezbjednosnih incidenata, uključujući prisustvo zlonamjernih proširenja internet pregledača koja su možda instalirane na uređajima kompanije bez znanja ili saglasnosti korisnika.
  17. Prilikom razmjene osjetljivih podataka, poput podataka za prijavu ili finansijskih informacija, korisnici treba da obezbijede da se koristi šifrovan protokol zasnovan na utvrđenim standardima, kao što su HTTPS/TLS.
  18. Redovno pravljenje rezervnih kopija kritičnih sistemskih i korisničkih podataka može pomoći u sprječavanju značajnih gubitaka u slučaju ugrožavanja bezbjednosti uzrokovanih ugroženim proširenjima internet pregledača.

Prateći ove preporuke, korisnici i organizacije mogu značajno smanjiti svoju izloženost riziku od napada na lanac snabdijevanja poput onih opisanih u tekstu iznad.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.