Η αποκάλυψη μιας εκτεταμένης κυβερνοεπίθεσης φέρνει στο φως τη δράση της ομάδας DarkSpectre, ενός καλά χρηματοδοτούμενου κινεζικού hacker group που κατάφερε να μολύνει περισσότερους από 8,8 εκατομμύρια χρήστες μέσω κακόβουλων επεκτάσεων σε Chrome, Edge και Firefox. Η επιχείρηση διήρκεσε επτά χρόνια και συνδύασε malware, απάτες καταναλωτών και εταιρική κατασκοπεία.
Τρεις συντονισμένες καμπάνιες με κοινό κέντρο ελέγχου
Η DarkSpectre υλοποίησε τρεις μεγάλες καμπάνιες: τη ShadyPanda με 5,6 εκατομμύρια θύματα, τη Zoom Stealer με 2,2 εκατομμύρια και τη GhostPoster με 1,05 εκατομμύρια μολύνσεις. Αν και αρχικά θεωρήθηκαν ξεχωριστές απειλές, οι ερευνητές επιβεβαίωσαν ότι πρόκειται για μία ενιαία εγκληματική οργάνωση με χαρακτηριστικά nation-state scale.
Οι αναλυτές της Koi εντόπισαν κοινή υποδομή και την τακτική χρήσης νόμιμων domains, όπως τα infinitynewtab.com και infinitytab.com, τα οποία παρείχαν κανονικές λειτουργίες, ενώ ταυτόχρονα επικοινωνούσαν με κρυφούς command-and-control servers.
«Time-bomb» επεκτάσεις και τεχνικές απόκρυψης
Ιδιαίτερη ανησυχία προκαλούν οι λεγόμενες «time-bomb» επεκτάσεις, οι οποίες παραμένουν ανενεργές για ημέρες ή εβδομάδες πριν ενεργοποιήσουν το κακόβουλο φορτίο. Χαρακτηριστικό παράδειγμα είναι η επέκταση «New Tab – Customized Dashboard», που ενεργοποιείται τρεις ημέρες μετά την εγκατάσταση, αποφεύγοντας τους ελέγχους ασφαλείας των marketplaces.
Το DarkSpectre χρησιμοποιεί επίσης στεγανογραφία, κρύβοντας JavaScript μέσα σε αρχεία PNG, με πολλαπλά επίπεδα κρυπτογράφησης και obfuscation. Έτσι, οι επιτιθέμενοι διατηρούν πλήρη έλεγχο, αλλάζοντας δυναμικά το payload από τους servers τους χωρίς ενημέρωση της επέκτασης.
Η υπόθεση DarkSpectre αναδεικνύει πόσο ευάλωτα μπορούν να γίνουν ακόμη και τα πιο διαδεδομένα web browsers, υπογραμμίζοντας την ανάγκη αυξημένης επαγρύπνησης απέναντι σε φαινομενικά «αθώες» επεκτάσεις.