فیلیپ مارتین، متخصص امنیتی شرکت Coinbase، جزئیات کشف دو آسیب‌پذیری در فایرفاکس را در یک پست وبلاگی منتشر کرد. این دو آسیب‌پذیری حدود دو ماه پیش کشف شده بودند.

پنجشنبه 9 خرداد (30 می) چندین تن از کارمندان شرکت کوین‌بیس (Coinbase) ایمیلی را دریافت کردند که به نظر می‌رسید از طرف یک محقق به نام گرگوری هریس از دانشگاه کمبریج باشد. دامنه‌ای که ایمیل از آن ارسال شده بود، دامنه واقعی دانشگاه کمبریج بود، هیچ المان بدخواهانه‌ای نداشت و ابزارهای تشخیص اسپم قادر به شناسایی آن نبودند. طی هفته‌های بعد، ایمیل‌های مشابهی دریافت شد. در 27 خرداد (17 ژوئن) مجددا گرگوری هریس ایمیلی را ارسال کرد که این بار حاوی یک لینک بود. این لینک باعث مشکوک شدن متخصصان کوین‌بیس شد. ظاهرا مهاجم موفق شده بود به نوعی روی دامنه دانشگاه کمبریج برای خود صفحه وب و ایمیل بسازد.

سناریو حمله

پس از کلیک روی لینک، صفحه‌ای باز می‌شد که حاوی یک کد مخرب جاوااسکریپت بود. این کد از یک نقص روز صفر گریز از سندباکس (CVE-2019–11708) استفاده می‌کند تا دسترسی خود را از داخل یک صفحه به کل مرورگر ارتقاء دهد و سپس از یک نقص روز صفر دیگر (CVE-2019–11707) استفاده می‌کند تا روی ماشین میزبان کد اجرا کند. کدی که روی میزبان اجرا می‌شود، یک shellcode است که با استفاده از دستور curl، فایل مخربی را دانلود می‌کند.

پیشتر در مورد این دو نقص نوشته بودیم: موزیلا و دو روز صفرم در یک هفته

این فایل مخرب، مرحله اول حمله است و کار آن سرقت اطلاعات از سیستم قربانی است. پس از مدتی تاخیر، فاز دوم حمله اجرا می‌شود. این تاخیر می‌تواند نشان دهنده این باشد که یک عامل انسانی اطلاعات سرقت شده را بررسی می‌کند تا اهداف مناسب حمله را برای فاز دوم انتخاب کند. فایل مخربی که در مرحله اول دانلود شده بود، فایل مخرب دیگری را برای مرحله دوم دانلود می‌کند که یک RAT (تروجان با دسترسی از راه دور) کامل است.

واکنش متخصصان

کوین‌بیس، ماشین کاربر قربانی را مورد کاوش قرار داد و متوجه راه‌اندازی شل توسط مرورگر شد. سپس زمانی که وبسایت مخرب هنوز فعال بود، کد بهره‌برداری از آسیب‌پذیری را بررسی کرده و نقص‌های فایرفاکس را کشف کردند و به موزیلا اطلاع دادند. همچنین این محققان موضوع را به دانشگاه کمبریج اطلاع دادند و توانستند با همکاری آنها اطلاعات بیشتری درباره حمله و قربانیان آن به دست آورند. به نظر می‌رسد عاملان این حمله به دنبال اهداف خاصی برای حمله بوده‌اند، زیرا حملات بسیار هدفمندی را اجرا می‌کردند و از بین 200 هدف اولیه، در نهایت تنها 5 نفر را هدف گرفتند. این نوع فیشینگ هدفمند، ماهیگیری با نیزه یا spear phishing نامیده می‌شود.

همچنین یکی از این آسیب‌پذیری‌ها توسط ساموئل گروس (Samuel Groß) محقق Google Project Zero نیز کشف شده بود، اما محققان با بررسی کد بهره‌برداری مورد استفاده در حمله، حدس می‌زنند که مهاجمان به طور مستقل آن را کشف کرده‌اند.