תוסף כרום של חברת אבטחת סייבר נפרץ כדי לגנוב נתונים

בסוף השבוע האחרון – באופן שכנראה תוזמן לחופשת חג המולד, כאשר צוותי האבטחה פועלים בדרך כלל עם כוח אדם מצומצם – התגלה כי מספר חברות נפגעו במתקפת סייבר מתוחכמת, שהשתמשה בהרחבות כרום זדוניות, כך על פי דיוח של סוכנות רויטרס.

ההאקרים הצליחו להחדיר קוד זדוני לתוך הרחבות לגיטימיות של דפדפן כרום של גוגל, וזאת במטרה לגנוב מידע רגיש. בין החברות שנפגעו נכללה גם חברת אבטחת המידע סייברהייבן (Cyberhaven), שאישרה את הפריצה אליה. סייברהייבן, שגייסה 88 מיליון דולר ביוני האחרון ומוערכת ב-488 מיליון דולר, מתגאה בלקוחות בפרופיל גבוה, ביניהן חברות גדולות כמו קנון, רדיט ומוטורולה.

Our team has confirmed a malicious cyberattack that occurred on Christmas Eve, affecting Cyberhaven's Chrome extension. Here's our post about the incident and the steps we're taking: https://t.co/VTBC73eWda

Our security team is available 24/7 to assist affected customers and…

— Cyberhaven (@CyberhavenInc) December 27, 2024

כאמור, התוקפים השתמשו בהרחבות כרום, שהן תוספים המותקנים בדפדפן ונועדו לשפר את חווית המשתמש, על מנת להחדיר את הקוד הזדוני למחשבי הקורבנות. קוד זה איפשר להם לגנוב קבצי Cookie ונתוני הזדהות, ובכך לקבל גישה לחשבונות רגישים. ההרחבות הללו, המשמשות חברות רבות גם לצורך ניטור ואבטחת נתונים, נוצלו במקרה המדובר כנשק נגד המשתמשים. בין ההרחבות שנפגעו, היו גם הרחבות הקשורות לבינה מלאכותית ורשתות VPN.

סייברהייבן: אל תסירו את ההרחבה שלנו

סייברהייבן דיווחה כי המתקפה התרחשה בערב חג המולד, וכי הצליחה להסיר את הקוד הזדוני מחנות התוספים של כרום תוך 60 דקות מרגע גילויו. עם זאת, ההרחבות הנגועות היו פגיעות במשך למעלה מ-30 שעות. החברה עדכנה כי גילתה את הפריצה לאחר שהבחינה בקוד זדוני שהושתל בעדכון להרחבה שלה, וייחסה את הפריצה למתקפת פישינג נגד אחד מעובדיה. ההרחבה של סייברהייבן משמשת ככלי עיקרי לניטור וחסימת דליפת נתונים, ועוקבת אחר מידע שנשלח דרך אימיילים, כלי AI ויישומי אינטרנט.

Regarding the Cyberhaven chrome extension compromise I have reasons to believe there are other extensions affected. Pivoting by the ip address there are more domains created within the same time range resolving to the same ip address as cyberhavenext[.]pro (cont)

— Jaime Blasco (@jaimeblascob) December 27, 2024

היקף הנזק של האירוע עדיין לא ברור ולא ידוע כמה משתמשים נפגעו, או מה היה היעד העיקרי של התוקפים. עם זאת, ההערכה היא שהתקיפה לא הייתה מכוונת כלפי חברת סייברהייבן ספציפית, אלא הייתה אקראית, ומטרתה הייתה "לשאוב נתונים רגישים תוך שימוש במספר רב ככל האפשר של הרחבות שנפרצו", כך לדברי ג'יימי בלאסקו, מייסד שותף של Nudge Security. סייברהייבן עצמה הצהירה כי הקוד הזדוני כוון במיוחד לחשבונות פרסום של פייסבוק.

סייברהייבן פרסמה פוסט על האירועים ופנתה ללקוחותיה והמליצה להם לעדכן את ההרחבה, להחליף סיסמאות ואסימוני גישה, לנקות סשנים ולבדוק יומנים לאיתור פעילות חשודה. היא גם המליצה לא להסיר את ההרחבה, כדי לשמר נתונים שיוכלו לסייע בחקירה. בנוסף, החברה פועלת בשיתוף פעולה עם גורמי אכיפת החוק הפדרליים ועם חברת הסייבר מנדיאנט (Mandiant) שבבעלות גוגל, לצורך חקירת האירוע.

גוגל, אשר מפתחת את דפדפן הכרום ואת חנות התוספים שלו, לא התייחסה לבקשות המדיה לתגובה לגבי האירוע.