Кремлівські хакери використовують старі вразливості XSS для доступу до поштових серверів

Головна — News — Кремлівські хакери використовують старі вразливості XSS для доступу до поштових серверів

Дослідники з компанії ESET виявили складну шпигунську кампанію під назвою Операція RoundPress, в якій пов’язана з Росією хакерська група Sednit (також відома як APT28, Fancy Bear, Forest Blizzard та Sofacy) використала вразливості міжсайтового скриптингу (XSS), деякі з яких були виправлені ще кілька років тому, щоб проникнути в високоякісні веб-поштові сервери по всьому світу. Зловмисники викрали списки контактів і архіви електронних листів, а також встановили постійні правила переадресації, що призвело до компрометації оборонних підрядників та державних установ у Європі, Африці та Південній Америці.

1. Загальний огляд атаки

З середини 2023 року до початку 2025 року Sednit націлився на чотири популярні платформи для електронної пошти з відкритим кодом та комерційні рішення — Roundcube, MDaemon, Horde та Zimbra — вставляючи шкідливий JavaScript у фішингові електронні листи. Коли отримувачі, які користувалися вразливими веб-поштовими інтерфейсами, відкривали заражені повідомлення, скрипт виконувався в їхньому браузері, експлуатуючи серверні вразливості XSS для:

Викрадення адресних книг та архівів повідомлень через AJAX-запити до контрольованих зловмисниками кінцевих точок

Створення правил фільтрації Sieve, які автоматично переадресовують вхідну пошту на сервери, що управляються Sednit

Забезпечення повторного виконання коду при кожному перегляді електронного листа, незважаючи на відсутність постійності на хості

OpenAI представляє GPT-4.1: нові можливості ChatGPT для бізнесу

2025-05-15

2. Технічний аналіз: анатомія XSS-експлуатації

Міжсайтовий скриптинг виникає, коли ненадійний ввід неправильно очищується та відображається або зберігається веб-додатком. В операції RoundPress Sednit використав два основні вектори XSS:

Відображений XSS у Roundcube (CVE-2020-43770): Шкідливі параметри, вставлені в спеціально підготовлене URL у HTML електронного листа, викликали небезпечні присвоєння innerHTML у компоненті перегляду пошти. При рендерингу браузер виконував код зловмисника.

Збережений XSS у MDaemon (нульовий день, який експлуатувався наприкінці 2023 року): Неконтрольований тег , вставлений у модуль “перегляд повідомлення”, зберігався в базі даних сервера. Коли користувач переглядав свою вхідну пошту, сервер повертав зловмисний скрипт, вбудований у сторінку.

Усі експлуатовані вразливості мали спільну проблему: відсутність контекстно-залежного екранування HTML-атрибутів або внутрішнього вмісту. Сучасні фреймворки за замовчуванням зменшують ризики XSS за допомогою механізмів, таких як Політика безпеки контенту (CSP) та шаблонні движки (наприклад, екранування JSX у React), але застарілі платформи електронної пошти часто не мають таких захистів.

3. Історичний контекст та еволюція загроз XSS

XSS вперше привернув увагу в 2005 році з Worm Samy, який розповсюджувався через MySpace, вставляючи клієнтський JavaScript, що додавав користувачів до друзів. Протягом наступного десятиліття XSS залишався одним з трьох найпоширеніших класів веб-експлуатацій, які відстежуються OWASP. Як тільки серверні фреймворки вдосконалилися, а браузери клієнтів почали впроваджувати суворіші налаштування cookie SameSite та заголовки CSP, випадки XSS зменшилися, але не зникли.

Операція RoundPress демонструє, що застаріла інфраструктура та затримки в патчах можуть відроджувати неактивні загрози. Телеметрія ESET показує зростання на 15% у ціленаправлених кампаніях XSS проти корпоративних веб-поштових сервісів з 4 кварталу 2024 року, що часто збігається з геополітичними напруженнями.

Антитрастовий процес проти Google: підсумки та подальші кроки

2025-05-09

4. Вплив та профіль цілей

Ключовими жертвами стали оборонні підрядники в Болгарії та Румунії, які виготовляють системи протиповітряної оборони епохи СРСР, а також різні державні міністерства в ЄС, Західній Африці та Бразилії. Викрадені дані, ймовірно, потрапили до російської військової розвідки, що допомогло в операціях в Україні та дозволило стежити за дипломатичними комунікаціями.

5. Стратегії пом’якшення та найкращі практики

Управління патчами: Швидко застосовуйте оновлення безпеки від постачальників. Багато експлуатованих CVE мали виправлення, доступні більше ніж 18 місяців.

Політика безпеки контенту (CSP): Впроваджуйте сувору CSP, яка обмежує допустимі джерела скриптів (наприклад, script-src 'self').

HTTP-тільки та cookies SameSite: Переконайтеся, що сесійні cookies недоступні для JavaScript та блокуються на міжсайтових запитах.

Валідація вводу та екранування: Використовуйте бібліотеки для екранування, що враховують контекст (наприклад, OWASP Java Encoder, htmlspecialchars у PHP) в усіх кодових базах веб-пошти.

Регулярні аудити коду: Проводьте періодичний статичний та динамічний аналіз за допомогою інструментів, таких як Burp Suite та OWASP ZAP, щоб виявляти регресії.

Атака на постачальницький ланцюг: електронна комерція під загрозою

2025-05-05

6. Думки експертів

“XSS залишається тихим вбивцею для застарілих веб-додатків,” говорить доктор Олена Петрова, старший дослідник в Центрі кібербезпеки Оксфордського університету. “CSP та сучасні фреймворки допомагають, але організації повинні розглядати патчинг як безперервний процес, а не одноразову подію.”

“Ми радимо підприємствам впроваджувати багатошарову стратегію захисту,” додає Джеймс Ву, технічний директор SecureWave Labs. “Поєднуйте самозахист програм під час виконання (RASP) з навчанням з безпечного кодування для розробників.”

7. Висновок

Операція RoundPress є серйозним нагадуванням про те, що навіть добре відомі експлойти можуть завдати значної шкоди, коли захист ослаблений. Оскільки інфраструктури електронної пошти старіють, а зловмисники адаптуються, організації повинні інвестувати в проактивну безпеку — в кінцевому підсумку ставлячи кожен патч як потенційний ухил від загрози.