Hacking
Κακόβουλες επεκτάσεις Chrome σε HR και ERP
Κακόβουλες επεκτάσεις Chrome στόχευσαν HR/ERP — κλοπή cookies, μπλοκάρισμα IR και κατάληψη συνεδριών σε Workday/NetSuite/SAP.
Μια συντονισμένη εκστρατεία με κακόβουλες επεκτάσεις για το Chrome αναδύθηκε πρόσφατα, στοχεύοντας συστήματα ανθρώπινου δυναμικού και επιχειρησιακού σχεδιασμού όπως το Workday, το NetSuite και το SAP SuccessFactors. Η έρευνα προέρχεται από την ομάδα Threat Research της Socket και περιγράφει πέντε επεκτάσεις που συνεργάζονται για να κλέψουν συνεδρίες, να μπλοκάρουν εργαλεία ασφάλειας και, τελικά, να επιτρέψουν ολική κατάληψη λογαριασμών χωρίς κωδικούς.
Τα στοιχεία δείχνουν ότι οι πέντε επεκτάσεις έχουν συνολικά πάνω από 2.300 εγκαταστάσεις και παρουσιάζονται στους χρήστες ως εργαλεία διαχείρισης πρόσβασης ή «βελτιστοποίησης» για εταιρικά εργαλεία. Ωστόσο, κάτω από την επιφάνεια τους κρύβουν μηχανισμούς κλοπής cookie, παρεμβολής σε διαδικασίες incident response και δυνατότητα εισαγωγής κλεμμένων cookies σε επιτιθέμενους browser για άμεσο takeover.
Πώς παρουσιάζονται και γιατί είναι επικίνδυνες
Οι επεκτάσεις φροντίζουν να δείχνουν νόμιμες: κάποια έχουν καλαίσθητη διεπαφή με κάρτες λογαριασμών και κουμπιά «ACCESS TOOL», άλλα δηλώνουν ότι «περιορίζουν την πρόσβαση σε ειδικά εργαλεία» προς όφελος της ασφάλειας. Αυτές οι παρουσίες στο Chrome Web Store παρέχουν ένα ψευδές αίσθημα αξιοπιστίας που επιτρέπει την ευρύτερη υιοθέτησή τους ειδικά από χρήστες που διαχειρίζονται πολλαπλούς εταιρικούς λογαριασμούς.
Παρά τις διατυπώσεις στις σελίδες και στις πολιτικές απορρήτου που ισχυρίζονται «δεν συλλέγουμε δεδομένα», η ανάλυση του κώδικα αποκαλύπτει επιθετική εξαγωγή cookies, σιωπηρή αποστολή σε API υπό έλεγχο των επιτιθέμενων και δυναμικό μπλοκάρισμα σελίδων διαχείρισης και αρχείων audit ώστε οι ομάδες ασφαλείας να μην μπορούν να αντιδράσουν αποτελεσματικά.
Η τριπλή αλυσίδα επίθεσης
Η έρευνα περιγράφει ξεκάθαρα τρεις συνεργαζόμενες τεχνικές που εφαρμόζονται από τις επεκτάσεις: εξαγωγή και συνεχή παρακολούθηση cookies συνεδρίας, μπλοκάρισμα σελίδων διαχείρισης/IR και η εισαγωγή κλεμμένων cookies σε επιτιθέμενους browser για live takeover. Κάθε μία από αυτές τις τεχνικές, από μόνη της, είναι σοβαρή. Ο συνδυασμός τους σε ένα εργαλείο πολλαπλασιάζει τον κίνδυνο και μειώνει την ικανότητα αποκατάστασης.
Οι επιτιθέμενοι διαχειρίζονται αυτή την «πλατφόρμα» με modular λογική: επιμέρους επεκτάσεις εκτελούν συγκεκριμένα βήματα της επίθεσης, ενώ κάποιες υπηρεσίες C2 (command-and-control) συγκεντρώνουν και διανέμουν τις πληροφορίες και τα κλεμμένα tokens.
Τρεις από τις επεκτάσεις—συμπεριλαμβανομένων των DataByCloud Access και Software Access—στοχεύουν τα cookies που κρατούν τις συνεδρίες χρηστών. Συγκεκριμένα, τραβούν όλα τα cookies για τα domains στόχους, φιλτράρουν για το cookie __session, αποκωδικοποιούν την τιμή και την αποστέλλουν σε API endpoints όπως api.databycloud[.]com ή api.software-access[.]com σε τακτά χρονικά διαστήματα.
Ο μηχανισμός είναι έξυπνα σχεδιασμένος: listeners για αλλαγές cookie και συστήματα ειδοποιήσεων (π.χ. chrome.alarms) εξασφαλίζουν ότι όταν ο χρήστης κάνει νέα είσοδο ή ανανεώνει σύνδεση, οι ανανεωμένοι tokens συλλέγονται αυτόματα. Η συχνότητα αποστολής (κάθε 60 δευτερόλεπτα σύμφωνα με την ανάλυση) διατηρεί στον επιτιθέμενο πάντα ένα φρέσκο token.
Μπλοκάρισμα σελίδων διαχείρισης και παρεμπόδιση incident response
Δύο άλλες επεκτάσεις, όπως το Tool Access 11 και το Data By Cloud 2, χρησιμοποιούν DOM manipulation για να αποκόψουν προσβάσεις σε κρίσιμες σελίδες ασφαλείας και διαχείρισης του Workday. Εντοπίζουν συγκεκριμένα headers μέσω XPath και στη συνέχεια αντικαθιστούν ολόκληρο το document.body.innerHTML ή κάνουν ανακατευθύνσεις σε malformed URLs, αποτρέποντας έτσι τους admins από το να αλλάξουν κωδικούς, να απενεργοποιήσουν συνεδρίες, να διαχειριστούν MFA συσκευές ή να εξετάσουν αρχεία audit.
Για να διασφαλίσουν την ανθεκτικότητα του μπλοκαρίσματος, οι επεκτάσεις χρησιμοποιούν MutationObserver σε tight loop και περιοδικό reloading σελίδας, λειτουργώντας ακόμη και μέσα σε sandbox περιβάλλοντα ή σε εφαρμογές με δυναμικό περιεχόμενο. Το αποτέλεσμα είναι ένα περιβάλλον στο οποίο η ομάδα ασφαλείας βλέπει τα ύποπτα logins αλλά δεν μπορεί να ενεργήσει αποτελεσματικά μέσα από τον ίδιο τον browser του χρήστη.
Η πιο επικίνδυνη λειτουργία εντοπίζεται στην επέκταση Software Access, η οποία δεν περιορίζεται σε κλοπή αλλά προσφέρει και «επιστροφή» των cookies: αφού αποθηκεύσει τα κλεμμένα tokens στον C2, υπάρχει κώδικας που επιτρέπει στον επιτιθέμενο να κατεβάσει αυτά τα cookies και να τα εγχύσει στον δικό του browser μέσω της μεθόδου chrome.cookies.set(). Αυτή η τεχνική καθιστά περιττή την εκ μέρους του επιτιθέμενου προσπάθεια παράκαμψης MFA ή συλλογής κωδικών — το session αντικαθίσταται απευθείας.
Με αυτόν τον τρόπο, μια επίθεση μετατρέπεται σε «turnkey console»: ο επιτιθέμενος αποκτά πρόσβαση σε εσωτερικά HR αρχεία, δεδομένα μισθοδοσίας ή μετοχικών πληροφοριών, και μπορεί να πραγματοποιήσει ενέργειες με τον ίδιο λογικό ρόλο όπως το θύμα, χωρίς παρακολούθηση MFA ή επιπλέον authentication steps.
Σημάδια ενιαίας υποδομής και τεχνικά μοτίβα
Παρά την εμφάνιση διαφορετικών developers στο Chrome Web Store—τέσσερις από τις επεκτάσεις εμφανίζονται υπό το όνομα developer databycloud1104 και η πέμπτη εμφανίζεται ως Software Access—η τεχνική ανάλυση αποκαλύπτει κοινά API paths (π.χ. /api/v1/mv3), πανομοιότυπη λογική εξαγωγής session, λίστες ανίχνευσης εργαλείων ασφαλείας και κοινά patterns κώδικα. Αυτά είναι σαφείς ενδείξεις ότι πίσω από το σύνολο βρίσκεται ένας ενιαίος χειριστής που χρησιμοποιεί modular εργαλεία.
Επιπλέον, δύο παραλλαγές περιλαμβάνουν τη βιβλιοθήκη DisableDevtool για ανίχνευση και αποτροπή χρήσης developer tools, ενώ η Software Access έχει επιπλέον λογική για να αποτρέπει την έκθεση πεδίων κωδικών κατά την επιθεώρηση. Τα root domains εμφανίζουν disposable υποδομή: SSL handshake errors, 404s και ενεργά μόνο τα API subdomains που χρησιμεύουν ως C2.
Επιπτώσεις για επιχειρήσεις
Για έναν οργανισμό, η συνύπαρξη αυτών των τεχνικών σημαίνει ότι οι παραδοσιακές διαδικασίες incident response μπορούν να αποτύχουν. Ακόμα και αν το SOC εντοπίσει ύποπτες συνδέσεις, οι admins που προσπαθούν να αλλάξουν κωδικούς ή να τερματίσουν συνεδρίες από τον ίδιο το browser θα διαπιστώσουν ότι οι ενέργειές τους ανακαλούνται ή μπλοκάρονται. Αυτό δημιουργεί ένα παράθυρο χρόνου κατά το οποίο οι επιτιθέμενοι μπορούν να εξάγουν δεδομένα, να δημιουργήσουν backdoors ή να εγκαταστήσουν persistent agents σε άλλα σημεία του δικτύου.
Επιπλέον, εάν οι επιτιθέμενοι λάβουν πρόσβαση σε HR συστήματα, αυτό θέτει σε κίνδυνο προσωπικά δεδομένα εργαζομένων και πιθανές ρυθμιστικές υποχρεώσεις αναφοράς διαρροής δεδομένων (GDPR). Σε περιπτώσεις εταιρειών με συνδέσεις σε χρηματοοικονομικά συστήματα, η πρόσβαση μπορεί να επιτρέψει δόλιες ενέργειες οικονομικού χαρακτήρα ή ανταλλαγή εμπιστευτικών πληροφοριών.
Τι πρέπει να κάνουν οι οργανισμοί τώρα
Η άμεση αντίδραση απαιτεί πολλαπλά επίπεδα: τεχνικά μέτρα για την απομάκρυνση του κινδύνου, πολιτικές διαχείρισης επεκτάσεων και ρυθμίσεις ελέγχου ταυτότητας. Οι βασικές ενέργειες περιλαμβάνουν:
- Άμεσο audit όλων των επεκτάσεων Chrome σε εταιρικά προφίλ και απομάκρυνση οποιασδήποτε επέκτασης ταιριάζει με τις οικογένειες που περιγράφονται.
- Αναίρεση / invalidation συνεδριών από ασφαλές μη μολυσμένο σύστημα: αναγκαστικό logout σε επίπεδο server, επαναφορά sessions και ανανέωση tokens στο Identity Provider (SSO).
- Αποκλεισμός των γνωστών command-and-control domains στο δίκτυο και εφαρμογή URL filtering σε επίπεδο firewall / proxy.
- Επιβολή enterprise policies που επιτρέπουν μόνο approved extensions ή χρήση extension allowlist μέσω GPO / Chrome Enterprise policies.
- Ενεργοποίηση robust MFA, προτίμηση hardware-based MFA (π.χ. FIDO2) που δεν παρακάμπτεται με απλή εισαγωγή cookie.
- Έλεγχος για lateral movement — έρευνα endpoints για τυχόν persistence μηχανισμούς και εφαρμογή endpoint detection tools.
Η συνεργασία με τον πάροχο cloud/SSO και η αναφορά σε υπηρεσίες CERT/CSIRT είναι επίσης κρίσιμη, ειδικά σε περίπτωση που υπάρχουν ενδείξεις εκτεταμένης διαρροής δεδομένων.
Γιατί έχει σημασία
Αυτή η υπόθεση δείχνει πόσο εύκολα η εμπιστοσύνη σε φαινομενικά «βοηθηκά» εργαλεία μπορεί να εκμεταλλευτεί την επιχειρησιακή ανάγκη για ευκολία και πολλαπλούς λογαριασμούς. Οι browsers και οι επεκτάσεις τους αποτελούν πλέον όχημα πρόσβασης σε κρίσιμες επιχειρησιακές υπηρεσίες, και η ασφάλεια πρέπει να αντιμετωπίζει την πλευρά του endpoint και τη διαχείριση τρίτων εφαρμογών με την ίδια αυστηρότητα όπως τα firewalls ή τα SIEMs.
Για τις επιχειρήσεις, το μήνυμα είναι σαφές: η ευκολία δεν πρέπει να υπερκεράζει την ασφάλεια. Η πολιτική χρήσης επεκτάσεων, οι τεχνικοί έλεγχοι και η εκπαίδευση των χρηστών είναι το πρώτο τείχος άμυνας απέναντι σε τέτοιου είδους απειλές.
Ελληνικό και ευρωπαϊκό πλαίσιο
Σε ευρωπαϊκό επίπεδο, ένα περιστατικό που οδηγεί σε όχληση ή διαρροή προσωπικών δεδομένων ενδέχεται να εμπίπτει στον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) και σε υποχρεώσεις ειδοποίησης. Επιπλέον, οι νέες ρυθμίσεις όπως η οδηγία NIS2 εντείνουν τις απαιτήσεις για διαχείριση κινδύνων και αναφορές κυβερνοασφάλειας σε κρίσιμους τομείς. Για εταιρείες με έδρα ή πελάτες στην Ελλάδα και ΕΕ, η γρήγορη αναγνώριση και αντιμετώπιση τέτοιων επιθέσεων δεν είναι μόνο θέμα ασφάλειας αλλά και νομικής συμμόρφωσης.
Συμπερασματικά, η υπόθεση αυτή λειτουργεί ως υπενθύμιση: επεκτάσεις τρίτων μέρους πρέπει να αξιολογούνται με αυστηρά κριτήρια, οι διαχειριστές πρέπει να έχουν εργαλεία για να επιβάλλουν πολιτικές και οι ομάδες ασφάλειας να ελέγχουν τόσο το δίκτυο όσο και τους browsers των τελικών χρηστών.
