Používate v prehliadači Chrome, Edge alebo Firefox doplnky na nahrávanie Zoom hovorov, sťahovanie videí z Twitteru alebo automatické pripájanie do Google Meet? Zbystrite pozornosť. Výskumníci v oblasti kybernetickej bezpečnosti zo spoločnosti Koi odhalili masívnu špionážnu sieť, ktorá fungovala nepozorovane celých sedem rokov.
Operácia s názvom DarkSpectre infikovala viac ako 8,8 milióna používateľov prostredníctvom stoviek zdanlivo neškodných rozšírení. Za útokom stojí dobre financovaná skupina, pravdepodobne sponzorovaná čínskym štátom.
Ako to fungovalo: Trpezlivosť a neviditeľný kód
To, čo robí DarkSpectre obzvlášť nebezpečným, je jeho sofistikovanosť. Rozšírenia sa po inštalácii správali úplne normálne – robili presne to, čo sľubovali.
Hackeri však použili techniku „časovaného oneskorenia“. Škodlivý kód sa aktivoval až po dlhšom čase, často 48 hodín po inštalácii, aby obišiel bezpečnostné kontroly obchodov s aplikáciami.
Ešte rafinovanejší bol spôsob doručenia vírusu. Kampaň využívala tzv. steganografiu – ukrývanie dát do obrázkov. Rozšírenie si stiahlo obyčajnú ikonu vo formáte PNG. V jej kóde bol však ukrytý škodlivý JavaScript, ktorý sa následne extrahoval a spustil.
Tri hlavné línie útoku
Analýza odhalila, že operácia bola rozdelená do troch hlavných kampaní, z ktorých každá cielila na iné dáta:
- ShadyPanda (5,6 milióna obetí): Zameriavala sa na rozsiahle sledovanie používateľov a podvody v rámci partnerských (affiliate) programov.
- Zoom Stealer (2,2 milióna obetí): Najnebezpečnejšia časť pre firmy. Zameriavala sa na platformy ako Zoom či Google Meet. Dokázala kradnúť odkazy na stretnutia, prihlasovacie údaje a citlivé firemné súbory v reálnom čase.
- GhostPoster (1,05 milióna obetí): Cielila primárne na používateľov prehliadača Firefox.
Zoznam nebezpečných rozšírení (Skontrolujte si prehliadač)
Útočníci zneužili názvy, ktoré znejú genericky a užitočne. Ak máte nainštalované niektoré z nasledujúcich rozšírení (alebo im podobné od neoverených vývojárov), odporúčame ich okamžite odstrániť:
- Chrome Audio Capture
- ZED: Zoom Easy Downloader
- X (Twitter) Video Downloader
- Google Meet Auto Admit
- Zoom.us Always Show „Join From Web“
- Timer for Google Meet
- CVR: Chrome Video Recorder
- GoToWebinar & GoToMeeting Download Recordings
- Meet Auto Admit
- Google Meet Tweak (Emojis, Text, Cam Effects)
- Mute All on Meet
- Photo Downloader for Facebook, Instagram
- Zoomcoder Extension
- „Google Translate“ od charliesmithbons
Čínska stopa a dlhodobý cieľ
Dôkazy jasne ukazujú na Čínu. Hackeri využívali servery Alibaba Cloud, čínskych poskytovateľov internetu a v kóde sa našli reťazce v čínskom jazyku.
Analytici zo spoločnosti Koi uzavreli, že kombinácia trpezlivosti, technickej vyspelosti a obrovského rozsahu útoku naznačuje, že nejde o bežných kyberzločincov, ale o štátom podporovaného aktéra so strategickými cieľmi. Sedem rokov trvajúca operácia dokazuje, že vaša bezpečnosť môže byť ohrozená aj tým najnenápadnejším doplnkom, ktorý vám len „uľahčuje prácu“.
