In seguito a una ricerca di ESET è stato possibile individuare un gruppo di hacker filo-russi che hanno preso di mira un software di webmail, mettendo a rischio un numero enorme di e-mail.
La vulnerabilità, precedentemente sconosciuta, è il risultato di un errore critico di un cross-site scripting in Roundcube, un’applicazione server utilizzata da oltre 1.000 servizi di webmail e da milioni di utenti finali. I membri di un gruppo di hacker, identificato come Winter Vivern, in passato ha già sfruttato un bug XSS per iniettare JavaScript nell’applicazione server di Roundcube.
Alle vittime, di fatto, basta aprire un’e-mail dannosa per essere infettate: non serve alcun tipo di clic o di azione attiva da parte dell’utente.
L’esperto di ESET Matthieu Faou ha affermato come “In sintesi, inviando un messaggio e-mail appositamente predisposto, gli aggressori sono in grado di caricare codice JavaScript arbitrario nel contesto della finestra del browser dell’utente Roundcube“. Lo stesso ha poi aggiunto come “Non è richiesta alcuna interazione manuale oltre alla visualizzazione del messaggio in un browser Web“.
Gli hacker filo-russi di Winter Vivern prendono di mira entità governative in Europa, Asia centrale e non solo
Attraverso l’analisi di ESET ha dimostrato come gli attacchi sono iniziati lo scorso 11 ottobre, con la società che ha segnalato la vulnerabilità zero-day agli sviluppatori Roundcube il giorno successivo, a cui ha fatto seguito il rilascio di una patch il 14 ottobre. La vulnerabilità è stata catalogata come CVE-2023-5631 e interessa le versioni Roundcube 1.6.x prima della 1.6.4, 1.5.x prima della 1.5.5 e 1.4.x prima della 1.4.15.
Winter Vivern è operativo almeno dal 2020 e ha dimostrato di avere come principali obiettivi entità governative in Europa e Asia centrale. A marzo, il gruppo minaccioso è stato individuato mentre prendeva di mira funzionari del governo statunitense che avevano espresso sostegno all’Ucraina durante l’attuale conflitto con la Russia.
A confermare quanto appena affermato è stata anche la società di sicurezza Proofpoint, secondo cui “Questo attore è stato tenace nel prendere di mira funzionari americani ed europei, nonché personale militare e diplomatico in Europa“.