Peneliti keamanan telah menemukan dua kerentanan zero-day yang sebelumnya tidak diketahui dan secara aktif dieksploitasi oleh RomCom, sebuah kelompok peretasan yang terkait dengan Rusia, untuk menargetkan pengguna browser Firefox dan pemilik perangkat Windows di Eropa dan Amerika Utara.
RomCom adalah kelompok kejahatan dunia maya yang diketahui melakukan serangan siber dan intrusi digital lainnya terhadap pemerintah Rusia. Kelompok tersebut – yang bulan lalu dikaitkan dengan serangan ransomware yang menargetkan raksasa teknologi Jepang Casio – juga dikenal karena sikap agresifnya terhadap organisasi yang bersekutu dengan Ukraina, yang diinvasi Rusia pada tahun 2014.
Para peneliti di perusahaan keamanan ESET mengatakan mereka menemukan bukti bahwa RomCom menggabungkan penggunaan dua bug zero-day – yang digambarkan demikian karena pembuat perangkat lunak tidak punya waktu untuk melakukan perbaikan sebelum digunakan untuk meretas orang – untuk menciptakan “zero click” eksploitasi, yang memungkinkan peretas menanam malware dari jarak jauh di komputer target tanpa interaksi pengguna apa pun.
“Tingkat kecanggihan ini menunjukkan kemampuan dan niat pelaku ancaman untuk mengembangkan metode serangan tersembunyi,” peneliti ESET Damien Schaeffer dan Romain Dumont katanya dalam postingan blog pada hari Senin.
Target RomCom harus mengunjungi situs web jahat yang dikendalikan oleh kelompok peretas untuk memicu eksploitasi zero-click. Setelah dieksploitasi, pintu belakang RomCom akan dipasang di komputer korban, memungkinkan akses luas ke perangkat korban.
Schaeffer mengatakan kepada TechCrunch bahwa jumlah calon korban dari kampanye peretasan RomCom yang “meluas” berkisar dari satu korban per negara hingga sebanyak 250 korban, dengan mayoritas target berbasis di Eropa dan Amerika Utara.
Mozilla menambal kerentanan di Firefox pada 9 Oktober, sehari setelah ESET memberi tahu pembuat browser tersebut. Proyek Tor, yang mengembangkan Tor Browser berdasarkan basis kode Firefox, juga memperbaiki kerentanannya; meskipun Schaeffer mengatakan kepada TechCrunch bahwa ESET tidak melihat bukti bahwa Tor Browser dieksploitasi selama kampanye peretasan ini.
Microsoft menambal kerentanan yang memengaruhi Windows pada 12 November. Peneliti keamanan di Grup Analisis Ancaman Google, yang menyelidiki serangan dan ancaman siber yang didukung pemerintah, melaporkan bug tersebut kepada Microsoft, menunjukkan bahwa eksploitasi tersebut mungkin telah digunakan dalam kampanye peretasan lain yang didukung pemerintah.
