Web-инструмент для шпионажа Tetris эксплуатирует уязвимости в 58 сайтах

Web-инструмент для шпионажа Tetris эксплуатирует уязвимости в 58 сайтах

Использующая Tetris группировка предположительно работает на китайское правительство.

image

Исследователь безопасности под псевдонимом Imp0rtp3 обнаружил фреймворк для осуществления web-атак, предположительно разработанный хакерами, финансируемыми правительством Китая. По словам исследователя, инструмент под названием Tetris использовался для эксплуатации уязвимостей в 58 сайтах с целью слежения за политическими диссидентами. 57 из них – это популярные китайские порталы, а еще один – сайт американской газеты New York Times.

Помимо эксплуатации уязвимостей Tetris также использует легитимные функции браузера для записи нажатий клавиш на клавиатуре, похищения подробностей об используемой ОС и геолокационных данных, а также для снимков лица жертвы с помощью web-камеры. Однако, в отличие от эксплуатации уязвимостей вышеописанная активность не проходит незамеченной и вызывает появление соответствующих уведомлений в браузере.

Как отметил исследователь, Tetris представляет собой сложный web-инструмент для шпионажа. Он был тайно загружен на два сайта с китайской аудиторией. Как только пользователь открывал один из них, активировался первый из двух компонентов инструмента под названием Jetriz, собирающий данные о браузере пользователя. Если в настройках браузера был установлен китайский язык, потенциальная жертва переадресовывалась на второй компонент под названием Swid, загружающий в браузер 15 разных плагинов (JavaScript-файлов). Восемь плагинов использовали технику JSON hijacking для открытия соединения с популярными сайтами и извлекали публичные данные пользователя.

Хотя данная техника не позволяет похищать пароли или cookie-файлы авторизации, по словам Imp0rtp3, злоумышленники могут собирать такие данные как имена пользователя, номера телефонов и настоящие имена. Подобную информацию затем вполне можно связать с конкретной личностью.

Исследователь не сомневается, что использующая фреймворк группировка работает на правительство Китая. В пользу этой теории свидетельствует тот факт, что хакеров интересует только ограниченный круг лиц, использующих китайскую раскладку клавиатуры и читающих издания, критикующие действующее правительство КНР.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!