Böngészőbővítmények kihasználása
2024 végén a Darktrace észlelte, hogy egy ellátási lánc (supply chain) típusú kibertámadás célba vette a Cyberhaven nevű amerikai adatvédelmi vállalat Chrome böngészőbővítményét. A támadás lényege az volt, hogy a fenyegető szereplők kompromittálták a bővítményt, majd egy rosszindulatú frissítést terjesztettek, amely automatikusan települt az áldozatok böngészőiben.
Egy sikeres adathalász (phishing) támadás során a támadók hozzájutottak egy Cyberhaven-alkalmazott hitelesítő adataihoz, és így jogosultságot szereztek egy új verzió feltöltéséhez a Chrome Web Store-ra.
A módosított bővítmény képes volt cookie-kat és aktív hitelesítési munkameneteket ellopni, kapcsolatot létesíteni külső, ál-Cyberhaven domainhez: cyberhavenext[.]pro, adatokat exfiltrálni (pl. böngészési előzmények, bejelentkezések). Az időzítés karácsonyi időszakra esett (2024. december 25–26.), amikor a legtöbb szervezet minimális működés mellett dolgozik, így a támadás hosszabb ideig maradhatott észrevétlen.
Több eszköz folyamatosan próbált kommunikálni a cyberhavenext[.]pro domainnel, amely hasonlított a valódi Cyberhaven domainhez (cyberhaven[.]io), de valójában egy parancs- és vezérlő (C2) infrastruktúra része volt. A forgalom nagy része a 149.28.124[.]84 IP-re irányult. Ez az IP legalább két SSL hostnévhez kapcsolódott, köztük a fenti ál-domainekhez. Két nap alatt két eszköz több mint 5,5 GiB bejövő és 859 MiB kimenő adatforgalmat generált, több mint 3 millió hálózati naplóeseményt létrehozva. Ez automatizált adatgyűjtésre utal.
A támadás kihasználta a bizalomra épülő böngésző-bővítmény ökoszisztémát, ahol a frissítések automatikusan települnek – még akkor is, ha azok rosszindulatúvá váltak. A támadók sikeresen manipulálták az OAuth engedélyezési folyamatot, megkerülve a hagyományos védekezési mechanizmusokat. Mivel a támadás nem feltétlenül hagyott hátra ismert támadási jeleket (IoC), a hagyományos antivírus- vagy tűzfalalapú megoldások nem voltak hatékonyak. Az ellopott cookie-k és munkamenetek révén a támadók könnyedén hozzáférhettek más rendszerekhez (pl. közösségi média, hirdetési platformok, AI-alapú szolgáltatások), és pénzügyi haszonszerzés céljából visszaélhettek az elért fiókokkal.
Az incidens felhívja a figyelmet annak fontosságára, hogy ne csak a végpontok biztonságát, hanem a felhő- és böngészőalapú biztonsági megoldásokat is figyeljék, mivel a támadók egyre gyakrabban veszik célba ezeket a megbízható és gyakran figyelmen kívül hagyott vektorokat. Az ellátási lánc támadásai nem korlátozódnak a hagyományos szoftverszállítókra. A böngészőbővítmények, a felhőalapú alkalmazások és a SaaS-szolgáltatások egyaránt sérülékenyek.
