{"id":8640,"date":"2025-12-09T07:44:10","date_gmt":"2025-12-09T06:44:10","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=8640"},"modified":"2025-12-09T07:44:10","modified_gmt":"2025-12-09T06:44:10","slug":"operacija-reddirection-ugrozeno-43-miliona-internet-pregledaca","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2025\/12\/09\/operacija-reddirection-ugrozeno-43-miliona-internet-pregledaca\/","title":{"rendered":"Operacija RedDirection: Ugro\u017eeno 4,3 miliona internet pregleda\u010da"},"content":{"rendered":"<p>Operacija <em>RedDirection<\/em> je <a href=\"https:\/\/www.koi.ai\/blog\/4-million-browsers-infected-inside-shadypanda-7-year-malware-campaign\" target=\"_blank\" rel=\"noopener\">identifikovana<\/a> od strane sigurnosnih istra\u017eiva\u010da kompanije <em>Koi<\/em> kao napad na lanac snabdijevanja, kojim je ugro\u017een mehanizam a\u017euriranja popularnih pro\u0161irenja internet pregleda\u010da. Ovaj slu\u010daj posebno nagla\u0161ava zna\u010daj bezbjednog razvoja i pravilne implementacije softvera u sprje\u010davanju i ubla\u017eavanju sli\u010dnih prijetnji.<\/p>\n<div id=\"attachment_8645\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-8645\" class=\"size-full wp-image-8645\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/12\/Operation-RedDirection_.jpg\" alt=\"RedDirection\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/12\/Operation-RedDirection_.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/12\/Operation-RedDirection_-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/12\/Operation-RedDirection_-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/12\/Operation-RedDirection_-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/12\/Operation-RedDirection_-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/12\/Operation-RedDirection_-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/12\/Operation-RedDirection_-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-8645\" class=\"wp-caption-text\"><em>Operacija RedDirection: Ugro\u017eeno 4,3 miliona internet pregleda\u010da; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2025\/12\/09\/operacija-reddirection-ugrozeno-43-miliona-internet-pregledaca\/#OPERACIJA_REDDIRECTION\">OPERACIJA REDDIRECTION<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2025\/12\/09\/operacija-reddirection-ugrozeno-43-miliona-internet-pregledaca\/#RCE_kampanja_sa_tajnim_pristupom\">RCE kampanja sa tajnim pristupom<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2025\/12\/09\/operacija-reddirection-ugrozeno-43-miliona-internet-pregledaca\/#Operacija_spijunskog_softvera\">Operacija \u0161pijunskog softvera<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2025\/12\/09\/operacija-reddirection-ugrozeno-43-miliona-internet-pregledaca\/#Evolucija\">Evolucija<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2025\/12\/09\/operacija-reddirection-ugrozeno-43-miliona-internet-pregledaca\/#Pogodena_prosirenja\">Pogo\u0111ena pro\u0161irenja<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2025\/12\/09\/operacija-reddirection-ugrozeno-43-miliona-internet-pregledaca\/#UTICAJ\">UTICAJ<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sajberinfo.com\/en\/2025\/12\/09\/operacija-reddirection-ugrozeno-43-miliona-internet-pregledaca\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sajberinfo.com\/en\/2025\/12\/09\/operacija-reddirection-ugrozeno-43-miliona-internet-pregledaca\/#PREPORUKE\">PREPORUKE<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"OPERACIJA_REDDIRECTION\"><\/span><strong>OPERACIJA <em>REDDIRECTION<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Otkri\u0107e operacije <em>RedDirection<\/em> rasvijetlilo je sedmogodi\u0161nju aktivnost pro\u0161irenja za internet pregleda\u010de koja je ugrozila najmanje 4,3 miliona <em>Chrome<\/em> i <em>Edge<\/em> korisnika \u0161irom svijeta. Akter ozna\u010den kao <em>ShadyPanda<\/em> sistematski je zloupotrebljavao tr\u017ei\u0161ta internet pregleda\u010da, pretvaraju\u0107i naizgled legitimna pro\u0161irenja u platforme za dugoro\u010dni nadzor i daljinski pristup.<\/p>\n<p>Na\u010din rada <em>ShadyPanda<\/em> zasnivao se na izgradnji povjerenja sa \u017ertvama kroz objavljivanje pro\u0161irenja na renomiranim tr\u017ei\u0161tima, poput <em>Google<\/em> <em>Chrome<\/em> prodavnice i <em>Microsoft<\/em> <em>Edge<\/em> <em>Addons<\/em>. Pro\u0161irenja su \u010desto bila istaknuta i provjerena, \u0161to im je davalo trenutni kredibilitet i omogu\u0107avalo masovnu distribuciju. Takav pristup omogu\u0107io je da se vremenom akumulira velika baza korisnika.<\/p>\n<p>Istraga operacije <em>RedDirection<\/em> otkrila je i dvije teku\u0107e kampanje povezane sa istim akterom.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"RCE_kampanja_sa_tajnim_pristupom\"><\/span><strong><em>RCE<\/em> kampanja sa tajnim pristupom<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Prva identifikovana kampanja kompanije <em>ShadyPanda<\/em> obuhvatila je pet pro\u0161irenja za internet pregleda\u010d opremljenih <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/backdoor\/\" target=\"_blank\" rel=\"nofollow noopener\">tajnim pristupom<\/a> (eng. <em>backdoor<\/em>) za daljinsko izvr\u0161avanje k\u00f4da (<em>RCE<\/em>). Ta pro\u0161irenja su godinama funkcionisala legitimno, sve dok nisu kompromitovana i preokrenuta sredinom 2024. godine kroz tiha a\u017euriranja.<\/p>\n<p>Me\u0111u pogo\u0111enima su \u201c<em>Istaknuto<\/em>\u201d i \u201c<em>Provjereno<\/em>\u201d <em>Clean<\/em> <em>Master<\/em>, nekada smatrano pouzdanim zbog istaknutog polo\u017eaja u <em>Google<\/em> <em>Chrome<\/em> prodavnici. Ostala \u010detiri dodatka tako\u0111e su izgledala legitimno, ali ih je <em>ShadyPanda<\/em> tiho izmijenio kako bi olak\u0161ao napade daljinskog izvr\u0161avanja k\u00f4da.<\/p>\n<p>Jednom kada budu kompromitovana, pro\u0161irenja se svakog sata povezuju sa infrastrukturom zlonamjernog aktera, preuzimaju\u0107i proizvoljni <em>JavaScript<\/em> k\u00f4d i izvr\u0161avaju\u0107i ga sa punim pristupom <em>API<\/em> internet pregleda\u010da. Time se omogu\u0107ava pra\u0107enje svake posje\u0107ene stranice, izvla\u010denje <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovane<\/a> istorije pregledanja i prikupljanje detaljnih digitalnih otisaka (eng. <em>fingerprints<\/em>) u svrhu dugoro\u010dnog nadzora.<\/p>\n<p>Sposobnost da se izvr\u0161ava proizvoljni <em>JavaScript<\/em> k\u00f4d daje <em>ShadyPanda<\/em> akterima neograni\u010den pristup sesiji pregledanja korisnika, \u0161to im omogu\u0107ava prikupljanje osjetljivih podataka poput prijava, brojeva kreditnih kartica i drugih li\u010dnih informacija. Ovaj nivo pristupa tako\u0111e im daje mogu\u0107nost ubrizgavanja zlonamjernih skripti na stranice koje \u017ertve posje\u0107uju, dodatno ugro\u017eavaju\u0107i njihovu bezbjednost.<\/p>\n<p>Satne provjere kompromitovanih pro\u0161irenja sa infrastrukturom <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog aktera<\/a> imaju vi\u0161estruku svrhu: odr\u017eavanje kontrole nad inficiranim pregleda\u010dima i besprijekorno sprovo\u0111enje a\u017euriranja zlonamjernog softvera; izvla\u010denje podataka radi prikupljanja vrijednih informacija o navikama korisnika; te olak\u0161avanje <a href=\"https:\/\/sajberinfo.com\/en\/2023\/11\/09\/lateral-movement\/\" target=\"_blank\" rel=\"nofollow noopener\">bo\u010dnog kretanja<\/a> unutar kompromitovanih mre\u017ea.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Operacija_spijunskog_softvera\"><\/span><strong>Operacija \u0161pijunskog softvera<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Druga kampanja koju su istra\u017eiva\u010di identifikovali predstavlja opse\u017enu operaciju \u0161pijunskog softvera sprovedenu kroz pet dodatnih pro\u0161irenja objavljenih na <em>Microsoft<\/em> <em>Edge<\/em> <em>Addons<\/em>. Ovaj napor ve\u0107 je zahvatio vi\u0161e od 4 miliona korisnika \u0161irom svijeta, a vode\u0107e pro\u0161irenje <em>WeTab <\/em><em>\u65b0\u6807\u7b7e\u9875<\/em> (<em>WeTab<\/em> <em>New<\/em> <em>Tab<\/em> <em>Page<\/em>) bilje\u017ei oko 3 miliona instalacija.<\/p>\n<p>Primarna funkcija <em>WeTab<\/em> jeste snimanje svakog <em>URL<\/em> koji \u017ertve posjete, zajedno sa njihovim upitima za pretragu i klikovima mi\u0161em. Prikupljeni podaci se zatim prenose na servere u Kini, gdje se analiziraju u razli\u010dite svrhe \u2013 od ciljanog ogla\u0161avanja do ozbiljnijih aktivnosti poput kra\u0111e identiteta.<\/p>\n<p>Preostala \u010detiri pro\u0161irenja uklju\u010dena u kampanju tako\u0111e djeluju legitimno, ali ih je <em>ShadyPanda<\/em> tiho izmijenio kako bi slu\u017eila radu \u0161pijunskog softvera. Njihove funkcije vjerovatno su sli\u010dne <em>WeTab<\/em>, iako se razlikuju po stepenu slo\u017eenosti i obimu.<\/p>\n<p>Ovaj nadzorni napor ima ozbiljne posljedice po bezbjednost korisnika, jer omogu\u0107ava zlonamjernim akterima da prikupljaju osjetljive informacije o navikama pregledanja bez vidljivih znakova ili upozorenja. Sama razmjera kampanje dodatno izaziva zabrinutost zbog mogu\u0107nosti manipulacije pona\u0161anjem korisnika putem ciljanog ogla\u0161avanja ili drugih metoda.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Evolucija\"><\/span><strong>Evolucija<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Najzna\u010dajnija promjena kod zlonamjernih aktera <em>ShadyPanda<\/em> dogodila se tokom Faze 3, nazvane \u201c<em>The Long Game<\/em>\u201d (Duga igra). Ova faza ozna\u010dila je prekretnicu u razvoju operacije, jer su tri pro\u0161irenja postavljena na tr\u017ei\u0161te internet pregleda\u010da izme\u0111u 2018. i 2019. godine. Me\u0111u njima je <em>Clean Master<\/em>, koje je u tom periodu dostiglo preko 200.000 instalacija.<\/p>\n<p>Rana pro\u0161irenja funkcionisala su bez incidenata nekoliko godina, zara\u0111uju\u0107i zna\u010dke \u201c<em>Istaknuto<\/em>\u201d i \u201c<em>Provjereno<\/em>\u201d od strane kompanije <em>Google<\/em>. Period prividnog mira prikrivao je zlonamjernu namjeru, jer su akteri <em>ShadyPanda<\/em> tiho pratili instalacije kako bi optimizovali doseg i postavili temelje za budu\u0107e iskori\u0161tavanje. Njihovo \u010disto funkcionisanje slu\u017eilo je kao <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/trojan\/\" target=\"_blank\" rel=\"nofollow noopener\">trojanski konj<\/a>, sti\u010du\u0107i povjerenje korisnika dok je prava svrha ostajala skrivena.<\/p>\n<p>Benigno pona\u0161anje ovih ranih pro\u0161irenja bilo je posebno zna\u010dajno. Dizajnirana su da se besprijekorno uklope sa legitimnim dodacima internet pregleda\u010da, \u0161to ih je \u010dinilo te\u0161kim za razlikovanje od originalnog softvera. Ovaj prikriveni pristup omogu\u0107io je <em>ShadyPanda<\/em> akterima da prikupljaju podatke o navikama i preferencijama korisnika, a da pritom ne izazivaju sumnju. Sposobnost da rade \u010disto tokom du\u017eeg perioda svjedo\u010di o pa\u017eljivo osmi\u0161ljenom dizajnu.<\/p>\n<p>Zlonamjerno a\u017euriranje objavljeno sredinom 2024. godine ozna\u010dilo je naglu promjenu. Preko no\u0107i, vi\u0161e od 300.000 internet pregleda\u010da pretvoreno je u <a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/24\/botnet\/\" target=\"_blank\" rel=\"nofollow noopener\">botnet<\/a> mre\u017ee sposobne za daljinsko izvr\u0161avanje k\u00f4da (<em>RCE<\/em>), sa petljom komandovanja i kontrole koja se aktivirala svakog sata. Ova iznenadna promjena pokazuje sposobnost aktera da prilago\u0111avaju svoje operacije po potrebi.<\/p>\n<p>Tehni\u010dki detalji Faze 3 bili su podjednako upe\u010datljivi. Zlonamjerni softver izvla\u010dio je kompletnu istoriju pregledanja sa vremenskim oznakama i podacima o izvorima posje\u0107enih stranica, \u010duvaju\u0107i identifikatore putem <em>chrome.storage.sync<\/em>. Servisni agent presretao je i mijenjao mre\u017eni saobra\u0107aj, otvaraju\u0107i mogu\u0107nosti za kra\u0111u podataka za prijavu, otmicu sesije i ubrizgavanje sadr\u017eaja na bilo koju stranicu \u2013 uklju\u010duju\u0107i i one obezbije\u0111ene <em>HTTPS<\/em> protokolom.<\/p>\n<p>Zamagljivanje i anti-analiza bile su sastavni dijelovi optere\u0107enja u Fazi 3. Kada bi se otvorili alati za programere, softver bi se vra\u0107ao u benigno pona\u0161anje, ote\u017eavaju\u0107i stru\u010dnjacima analizu unutra\u0161njeg rada. Ovaj nivo prikrivanja nagla\u0161ava posve\u0107enost aktera izbjegavanju otkrivanja.<\/p>\n<p>U Fazi 4, <em>ShadyPanda<\/em> se pro\u0161irio preko izdava\u010da <em>Starlab<\/em> <em>Technology<\/em> na <em>Edge<\/em> pregleda\u010du, sa pet pro\u0161irenja koja su zajedno pre\u0161la 4 miliona instalacija. <em>WeTab<\/em> i srodna pro\u0161irenja bila su posebno zna\u010dajna, jer su prikupljala istoriju pregledanja u realnom vremenu, upite za pretragu, pokrete mi\u0161a, podatke o interakciji sa stranicama i sadr\u017eaj skladi\u0161ta.<\/p>\n<p>Ova pro\u0161irenja slala su podatke na vi\u0161e domena u Kini, zajedno sa <em>Google<\/em> <em>Analytics<\/em>. \u0160irina dozvola koje su im dodijeljene bila je zapanjuju\u0107a \u2013 automatska a\u017euriranja i javna dostupnost zna\u010dili su da akteri mogu u svakom trenutku da ih pretvore u tajni pristup za daljinsko izvr\u0161avanje k\u00f4da. Ovaj nivo kontrole pokazuje njihovu sposobnost prilago\u0111avanja okolnostima.<\/p>\n<p>Tehni\u010dki detalji <em>WeTab<\/em> i srodnih pro\u0161irenja jednako su vrijedni pa\u017enje. Radila su sa \u0161irokim dozvolama, omogu\u0107avaju\u0107i neograni\u010den pristup podacima i navikama korisnika. Automatska a\u017euriranja osiguravala su da pro\u0161irenja ostanu aktivna i spremna za prilago\u0111avanje novim situacijama.<\/p>\n<p>\u010cinjenica da su ova pro\u0161irenja i dalje javno dostupna zna\u010di da ih korisnici nastavljaju instalirati, \u010desto nesvjesni njihove prave svrhe ili potencijala za zloupotrebu. To ukazuje na \u0161iri problem tr\u017ei\u0161ta internet pregleda\u010da, gdje se zlonamjerni akteri mogu neprimjetno uklopiti me\u0111u legitimne programere i do\u0107i do osjetljivih informacija.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Pogodena_prosirenja\"><\/span><strong>Pogo\u0111ena pro\u0161irenja<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Neka od identifikovanih pro\u0161irenja na <em>Chrome<\/em> i <em>Edge<\/em> internet pregleda\u010dima su navedena ispod:<\/p>\n<ul>\n<li><em>Clean Master: the best Chrome Cache Cleaner<\/em><\/li>\n<li><em>Speedtest Pro-Free Online Internet Speed Test<\/em><\/li>\n<li><em>BlockSite<\/em><\/li>\n<li><em>Address bar search engine switcher<\/em><\/li>\n<li><em>SafeSwift New Tab<\/em><\/li>\n<li><em>Infinity V+ New Tab<\/em><\/li>\n<li><em>OneTab Plus:Tab Manage &amp; Productivity<\/em><\/li>\n<li><em>WeTab <\/em><em>\u65b0\u6807\u7b7e\u9875<\/em><\/li>\n<li><em>Infinity New Tab for Mobile<\/em><\/li>\n<li><em>Infinity New Tab (Pro)<\/em><\/li>\n<li><em>Infinity New Tab<\/em><\/li>\n<li><em>Dream Afar New Tab<\/em><\/li>\n<li><em>Download Manager Pro<\/em><\/li>\n<li><em>Galaxy Theme Wallpaper HD 4k HomePage<\/em><\/li>\n<li><em>Halo 4K Wallpaper HD HomePage<\/em><\/li>\n<\/ul>\n<p><em>\u00a0<\/em><\/p>\n<h2><span class=\"ez-toc-section\" id=\"UTICAJ\"><\/span><strong>UTICAJ<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Uticaj operacije <em>RedDirection<\/em> bio je zna\u010dajan, sa preko 4,3 miliona ugro\u017eenih <em>Chrome<\/em> i <em>Edge<\/em> korisnika \u0161irom svijeta putem zlonamjernih pro\u0161irenja distribuiranih kroz prodavnice <em>Google<\/em> <em>Chrome<\/em> i <em>Microsoft<\/em> <em>Edge<\/em>.<\/p>\n<p>Ova koordinisana kampanja ukazala je na kriti\u010dnu slabost u ekosistemima pro\u0161irenja internet pregleda\u010da, koja poga\u0111a i pojedince i poslovne organizacije. Rasprostranjenost operacije <em>RedDirection<\/em> ozbiljno uti\u010de na povjerenje korisnika u digitalne usluge.<\/p>\n<p>Po\u0161to su zlonamjerna pro\u0161irenja u po\u010detku djelovala benigno i bila \u0161iroko pouzdana zahvaljuju\u0107i pozitivnim recenzijama i verifikovanim zna\u010dkama, korisnici su manje skloni da provjeravaju a\u017euriranja ili autenti\u010dnost dodataka. Ovaj nedostatak pa\u017enje stvorio je okru\u017eenje pogodno za iskori\u0161tavanje od strane zlonamjernih aktera.<\/p>\n<p>Ugro\u017eeni podaci prikupljeni kroz operaciju <em>RedDirection<\/em> predstavljaju ozbiljan rizik za pogo\u0111ene pojedince i organizacije. Osjetljive informacije mogu dovesti do <a href=\"https:\/\/sajberinfo.com\/en\/2023\/11\/07\/identity-theft\/\" target=\"_blank\" rel=\"nofollow noopener\">kra\u0111e identiteta<\/a>, finansijskih gubitaka ili naru\u0161avanja reputacije ako budu iskori\u0161tene. Zbog toga je neophodno da korisnici i organizacije preduzmu proaktivne mjere radi ubla\u017eavanja ovih prijetnji.<\/p>\n<p>Ekonomski uticaj operacije <em>RedDirection<\/em> ne mo\u017ee se umanjiti. Sa milionima ugro\u017eenih korisnika, potencijalni gubici zbog <a href=\"https:\/\/sajberinfo.com\/en\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>prevara, infekcija <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernim softverom<\/a> ili drugih sajber prijetnji su veliki. Pored toga, reputaciona \u0161teta koju pretrpe pogo\u0111ene organizacije mo\u017ee izazvati zna\u010dajne finansijske posljedice kroz gubitak poslovanja i prihoda.<\/p>\n<p>Osim direktnih posljedica, operacija <em>RedDirection<\/em> istakla je \u0161iri problem bezbjednosti lanca snabdijevanja unutar ekosistema pro\u0161irenja internet pregleda\u010da. Lako\u0107a kojom zlonamjerni akteri mogu da ugroze pouzdane dodatke nagla\u0161ava potrebu za stro\u017eim procesima provjere i boljom kontrolom mehanizama a\u017euriranja.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong>ZAKLJU\u010cAK<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Operacija <em>RedDirection<\/em> predstavlja primjer kako zlonamjerni akteri mogu da iskoriste povjerenje u ekosisteme pro\u0161irenja internet pregleda\u010da i ugroze milione korisnika. Uspeh kampanje zasnivao se na kori\u0161tenju zvani\u010dnih prodavnica, pozitivnih recenzija i verifikovanih zna\u010dki za distribuciju 18 pro\u0161irenja koja su u po\u010detku bila legitimna, ali su kasnije pretvorena u oru\u017eje kroz zlonamjerna a\u017euriranja.<\/p>\n<p>Pro\u0161irenja su pru\u017eala stvarnu funkcionalnost, akumulirala stotine hiljada instalacija i dobijala pozitivne povratne informacije od korisnika, sve dok zlonamjerni akteri nisu unijeli k\u00f4d putem a\u017euriranja. Ovakav napad na lanac snabdijevanja omogu\u0107io je da pro\u0161irenja ostanu neotkrivena du\u017ee vrijeme, jer su njihove prve verzije bile \u010diste, a tek kasnije su pokazivale zlonamjerno pona\u0161anje.<\/p>\n<p>Uticaj kampanje bio je ogroman, sa preko 4,3 miliona ugro\u017eenih <em>Chrome<\/em> i <em>Edge<\/em> korisnika u pojedina\u010dnim i poslovnim okru\u017eenjima. Iskori\u0161tavanje povjerenja svojstvenog ekosistemima pro\u0161irenja pregleda\u010da ukazalo je na ozbiljnu slabost koja zahtijeva hitnu pa\u017enju programera, <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/27\/hakeri-eticki-hakeri-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">stru\u010dnjaka za bezbjednost<\/a> i samih korisnika radi ubla\u017eavanja postoje\u0107ih rizika.<\/p>\n<p>Operacija <em>RedDirection<\/em> pokazuje zna\u010daj kontinuiranog pra\u0107enja i a\u017euriranja pro\u0161irenja kako bi se sprije\u010dili sli\u010dni napadi u budu\u0107nosti. Tako\u0111e nagla\u0161ava potrebu za ja\u010dim procesima provjere unutar zvani\u010dnih prodavnica radi o\u010duvanja integriteta distribuiranog softvera.<\/p>\n<p>Uspeh kampanje svjedo\u010di o domi\u0161ljatosti zlonamjernih aktera koji prilago\u0111avaju svoje taktike kako bi iskoristili slabosti u naizgled bezbjednim sistemima. Kao takva, operacija <em>RedDirection<\/em> slu\u017ei kao upozorenje svim u\u010desnicima u ekosistemima pro\u0161irenja pregleda\u010da da ponovo procijene i oja\u010daju bezbjednosne mjere.<\/p>\n<p>Pored toga, operacija <em>RedDirection<\/em> ukazuje na potrebu za efikasnijom saradnjom izme\u0111u programera, stru\u010dnjaka za bezbjednost i korisnika kako bi se sprije\u010dili budu\u0107i napadi.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"PREPORUKE\"><\/span><strong>PREPORUKE<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Za\u0161tita od operacije <em>RedDirection<\/em> zahtijeva budnost i proaktivne mjere kako od pojedinaca, tako i od organizacija. Prate\u0107i sljede\u0107e preporuke, mogu\u0107e je zna\u010dajno unaprijediti bezbjednosni polo\u017eaj u odnosu na <em>RedDirection<\/em> i sli\u010dne napade:<\/p>\n<ol>\n<li>Korisnici bi trebalo redovno da provjeravaju instalirana pro\u0161irenja pregleda\u010da i uklone sve sumnjive ili nepoznate dodatke. To se mo\u017ee uraditi posjetom stranici <em>Chrome<\/em> prodavnice ili <em>Microsoft<\/em> <em>Edge<\/em> dodataka, gdje je dostupna lista svih trenutno instaliranih pro\u0161irenja.<\/li>\n<li>Prilikom instaliranja novih pro\u0161irenja, korisnici moraju pa\u017eljivo da ispitaju tra\u017eene dozvole i da se uvjere da su u skladu sa predvi\u0111enom funkcionalno\u0161\u0107u pro\u0161irenja. Korisnici ne bi trebalo da odobravaju pretjeran pristup osjetljivim podacima bez razumijevanja za\u0161to je to potrebno.<\/li>\n<li>Pojedinci mogu da prate svoju istoriju pregledanja za sve neobi\u010dne obrasce ili sumnjive internet stranice koje su posje\u0107ivali. Ovo mo\u017ee ukazivati na to da je instalirano zlonamjerno pro\u0161irenje, \u0161to korisnicima omogu\u0107ava da brzo preduzmu korektivne mjere.<\/li>\n<li>Osiguravanje da su pregleda\u010di i pro\u0161irenja a\u017eurirani najnovijim bezbjednosnim ispravkama klju\u010dno je za sprje\u010davanje iskori\u0161tavanja poznatih slabosti. Korisnici bi trebalo redovno da provjeravaju dostupna a\u017euriranja i instaliraju ih \u010dim postanu dostupna.<\/li>\n<li>Preuzimati pro\u0161irenja internet pregleda\u010da samo iz pouzdanih izvora, kao \u0161to su zvani\u010dna <em>Chrome<\/em> internet prodavnica ili stranica sa dodacima za <em>Microsoft<\/em> <em>Edge<\/em>. Izbjegavati internet stranice tre\u0107ih strana koje mogu distribuirati zlonamjerni softver prikriven kao legitimna pro\u0161irenja.<\/li>\n<li>Zlonamjerni akteri \u010desto kreiraju la\u017ene recenzije kako bi njihova kompromitovana pro\u0161irenja izgledala pouzdano i popularno. Korisnici treba da budu oprezni sa previ\u0161e pozitivnim ocjenama bez odgovaraju\u0107ih komentara korisnika, \u0161to mo\u017ee ukazivati na koordinisane napore zlonamjernog aktera.<\/li>\n<li>Organizacije moraju uspostaviti jasne smjernice za zaposlene u vezi sa instaliranjem i kori\u0161tenjem pro\u0161irenja internet pregleda\u010da u radnom okru\u017eenju. Ovo uklju\u010duje navo\u0111enje odobrenih pro\u0161irenja i procedura za prijavljivanje sumnjivih aktivnosti.<\/li>\n<li>Redovno treba pregledati instalirani softver na svim ure\u0111ajima kompanije kako bi se otkrili neovla\u0161teni ili zlonamjerni dodaci, uklju\u010duju\u0107i kompromitovana pro\u0161irenja internet pregleda\u010da.<\/li>\n<li>Edukacija zaposlenih o rizicima povezanim sa operacijom <em>RedDirection<\/em> mo\u017ee pomo\u0107i u sprje\u010davanju sli\u010dnih incidenata u budu\u0107nosti. Ovo uklju\u010duje razumijevanje kako zlonamjerni akteri iskori\u0161tavaju pouzdane izvore i mehanizme a\u017euriranja za svoju korist.<\/li>\n<li>Organizacije moraju imati uspostavljenu proceduru za brzo i efikasno reagovanje kada do\u0111e do ugro\u017eavanja bezbjednosti, uklju\u010duju\u0107i kompromitovana pro\u0161irenja internet pregleda\u010da.<\/li>\n<li>Instaliranje renomiranih rje\u0161enja protiv zlonamjernog softvera mo\u017ee pomo\u0107i u otkrivanju i uklanjanju zlonamjernih pro\u0161irenja koja mogu biti instalirane na ure\u0111ajima kompanije bez znanja ili saglasnosti korisnika.<\/li>\n<li>Segmentiranje mre\u017ea u izolovane segmente na osnovu funkcije mo\u017ee ograni\u010diti \u0161irenje zlonamjernog softvera u slu\u010daju da se otkriju ugro\u017eena pro\u0161irenja, sprje\u010davaju\u0107i dalju \u0161tetu na kriti\u010dnim sistemima.<\/li>\n<li>Organizacije moraju redovno procjenjivati svoju upotrebu eksternih biblioteka i usluga u okviru projekata razvoja softvera za sve potencijalne bezbjednosne rizike ili ranjivosti koje bi mogli da iskoriste zlonamjerni akteri poput onih koji stoje iza operacije <em>RedDirection<\/em>.<\/li>\n<li>Implementacija za\u0161titnog zida za mre\u017ene aplikacije (eng. <em>web application firewall \u2013 WAF<\/em>) mo\u017ee pru\u017eiti dodatni sloj za\u0161tite od zlonamjernih aktivnosti filtriranjem sumnjivih obrazaca saobra\u0107aja koji mogu ukazivati na to da se ugro\u017eena pro\u0161irenja internet pregleda\u010da koriste za pokretanje napada na resurse kompanije.<\/li>\n<li>Zahtijevanje od korisnika da se prijave i <a href=\"https:\/\/sajberinfo.com\/en\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinkom<\/a> i jedinstvenim tokenom ili biometrijskim podatkom dodaje dodatnu prepreku zlonamjernim akterima koji poku\u0161avaju da pristupe osjetljivim sistemima koriste\u0107i kompromitovana pro\u0161irenja pregleda\u010da. Uvo\u0111enje autentifikacije u dva koraka (eng. <em>two-factor authentication \u2013 2FA<\/em>) zna\u010dajno pove\u0107ava otpornost korisnika i organizacija na uspje\u0161ne napade.<\/li>\n<li>Redovna analiza sistemskih aktivnosti mo\u017ee pomo\u0107i u identifikaciji potencijalnih bezbjednosnih incidenata, uklju\u010duju\u0107i prisustvo zlonamjernih pro\u0161irenja internet pregleda\u010da koja su mo\u017eda instalirane na ure\u0111ajima kompanije bez znanja ili saglasnosti korisnika.<\/li>\n<li>Prilikom razmjene osjetljivih podataka, poput podataka za prijavu ili finansijskih informacija, korisnici treba da obezbijede da se koristi \u0161ifrovan protokol zasnovan na utvr\u0111enim standardima, kao \u0161to su <em>HTTPS\/TLS<\/em>.<\/li>\n<li>Redovno pravljenje <a href=\"https:\/\/sajberinfo.com\/en\/2020\/11\/02\/rezervna-kopija-i-cuvanje-podataka\/\" target=\"_blank\" rel=\"nofollow noopener\">rezervnih kopija<\/a> kriti\u010dnih sistemskih i korisni\u010dkih podataka mo\u017ee pomo\u0107i u sprje\u010davanju zna\u010dajnih gubitaka u slu\u010daju ugro\u017eavanja bezbjednosti uzrokovanih ugro\u017eenim pro\u0161irenjima internet pregleda\u010da.<\/li>\n<\/ol>\n<p>Prate\u0107i ove preporuke, korisnici i organizacije mogu zna\u010dajno smanjiti svoju izlo\u017eenost riziku od napada na lanac snabdijevanja poput onih opisanih u tekstu iznad.<\/p>","protected":false},"excerpt":{"rendered":"<p>Operacija RedDirection je identifikovana od strane sigurnosnih istra\u017eiva\u010da kompanije Koi kao napad na lanac snabdijevanja, kojim je ugro\u017een mehanizam a\u017euriranja popularnih pro\u0161irenja internet pregleda\u010da. Ovaj slu\u010daj posebno nagla\u0161ava zna\u010daj bezbjednog razvoja i pravilne implementacije&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":8645,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[3678,3166,2817,1436,3348,3651,3677,3676,3680,64,3679],"class_list":["post-8640","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-bezbjednost-na-mrezi","tag-browser-extensions","tag-cyber-attack","tag-data-security","tag-internet-bezbjednost","tag-lanac-snabdijevanja","tag-online-threats","tag-operacija-reddirection","tag-reddirection-alert","tag-sajber-prijetnja","tag-zlonamjerna-prosirenja"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8640","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=8640"}],"version-history":[{"count":6,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8640\/revisions"}],"predecessor-version":[{"id":8648,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8640\/revisions\/8648"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/8645"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=8640"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=8640"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=8640"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}