Игорь Кузнецов, Kaspersky GReAT: Как мы поймали Форумного тролля и нашли 0-day в Google Chrome

В марте 2025 года «Лаборатория Касперского» обнаружила критическую уязвимость «нулевого дня» в Google Chrome. Кампания по её эксплуатации получила кодовое имя «Форумный тролль». В эксклюзивном интервью Игорь Кузнецов, директор Kaspersky GReAT, рассказал о ходе расследования, деталях атаки, потенциальных целях злоумышленников и важности EDR-решений для защиты от подобных угроз.

С чего началось ваше расследование? Что привлекло ваше внимание и когда это случилось?

И. К.: Случилось это буквально пару недель назад. Наш продукт Kaspersky EDR обнаружил с помощью новой технологии детектирования эксплойтов некую подозрительную активность. Мы еще не знали точно, что же конкретно произошло, поскольку у нас есть очень много технологий, которые созданы для того, чтобы находить аномалии. Мы обнаружили, что происходит эксплуатация уязвимости в браузере Google Chrome, самом популярном на данный момент, и приводила она к тому, что компьютеры заражались. Этого уже хватило для того, чтобы обратить все внимание на данную атаку.

Как вы вычленили эти необычные события из огромного потока? Ведь по вашей статистике у вас за одни только сутки обрабатывается порядка 465 тысяч вредоносных семплов.

И. К.: Тут мы честно, заслуженно гордимся нашей экспертизой. Большая часть потока, которая приходит в компанию каждый день, отрабатывается роботами. Люди даже не видят, что там происходит. Специальные роботы автоматически определяют, что программа вредоносная, но достаточно обычная, ее можно просто задетектировать, выпустить базы и защитить пользователей. 

Но с учетом нашего опыта, который насчитывает несколько десятков лет, мы знаем, куда именно смотреть, чтобы найти что-то более сложное и уникальное, что требует пристального внимания аналитиков. Для этого мы создаем специальные правила, пишем специальные программы, которые выделяют, вычленяют в потоке самое важное. И после этого наши эксперты уже смотрят, а что же произошло, и анализируют.

Самые сложные случаи мы всегда анализируем вручную. Иногда один аналитик, иногда целая команда, иногда несколько команд работают вместе, чтобы анализировать такие угрозы.

Итак, вы увидели аномалию. Это была разовая история, ориентированная на какие-то конкретные цели, или массовая атака?

И. К.: В данном случае это была очень целевая, узко таргетированная атака. Прошла одна волна почтовой рассылки. Конкретные адресаты в разных организациях получили уникальное письмо. В нем была ссылка, специально созданная под них, по которой они переходили — и попадали на вредоносный сайт. После этого их компьютер заражался через браузер. Это не была массовая история. Мы говорим о нескольких десятках конкретных получателей, на которых нацелились атакующие.

Удалось ли определить, что это были за организации, хотя бы примерный их профиль?

И. К.: Мы примерно понимаем, на кого нацеливались. Целями атаки были СМИ, образовательные и государственные учреждения. Довольно странное целеуказание для такой сложной атаки, поэтому мы не можем достоверно сказать, чего же именно добивались атакующие, кроме общей цели шпионажа.

А как эта атака развивалась?

И. К.: Приходило электронное письмо, и если потенциальная жертва нажимала на ссылку в нем, открывался браузер. В этот момент в браузере срабатывала цепочка уязвимостей «нулевого дня», те самые 0-day. В итоге запускалась вредоносная программа и на компьютер устанавливалось ПО для шпионажа за пользователем.

Удалось ли отследить первоначальный источник? Кто и когда запустил этот вредоносный сайт?

И. К.: Пока можно огласить только открытые детали. Мы знаем, что домен сменил владельца за месяц до атаки. Это можно легко проверить, это открытая информация. В остальном сайт находился полностью за анонимными сервисами, и никто достоверно не сможет сказать, кто был с той стороны и даже где находился.

Почему вы дали этой операции название «Форумный тролль»?

И. К.: Всегда очень сложно найти хорошее название. В данном случае у нас была зацепка. Было письмо, которое призывало пользователей зарегистрироваться на Примаковских чтениях. Это научно-экспертный форум. И мы нашли хорошее описание термина «форумный тролль»: это сущность, которая обитает на форумах и поджидает незадачливых пользователей, чтобы их атаковать. Мы подумали, что это идеальное описание данной атаки, поэтому и выбрали его.

Когда видишь скриншот этого письма, сначала не понимаешь, где угроза. Домен очень похож на оригинальный. Наверное, на этом и было все построено?

И. К.: Да. Именно поэтому мы всегда говорим, что очень важно не переходить по ссылкам в письмах. Даже если там не предложат скачать вредоносную программу, может быть что-то намного более серьезное, как этот 0-day, который проэксплуатирует браузер просто при переходе по ссылке.

Как вы думаете, сколько эта атака существовала, сколько действовала эта операция до того, как вы ее обнаружили? Есть какая-то оценка?

И. К.: Конкретно эта операция существовала очень недолго. Мы видели только одну рассылку, которая прошла фактически в один день и после этого не повторялась. Но наше расследование не закончилось, поэтому мы уверены, что появятся дополнительные детали, о которых мы расскажем.

Сколько времени у вас ушло на то, чтобы понять, что это такое, определить, что там есть некий 0-day и эксплойт для него? И сколько потом занимает работа по устранению?

И. К.: От момента появления прошло не больше недели. Как только стало ясно, что это что-то серьезное, мы проанализировали компоненты, которые вычленили оттуда, сам 0-day и, естественно, отослали информацию в компанию Google, поскольку они должны были исправить свой браузер. Надо отдать им должное: Google буквально в течение нескольких дней выпустила обновление. Все произошло в пределах нескольких недель.

Браузер Google Chrome использует подавляющее большинство физлиц и компаний. Насколько типично обнаружение подобного эксплойта в таком популярном ПО?

И. К.: Конкретно эта история довольно особенная. Нужно понимать, что есть разные типы уязвимостей, даже в таких популярных программах. Например, выполнение кода, когда произвольно исполняется какая-то вредоносная нагрузка, встречается достаточно часто. Но оно может быть без каких-либо последствий для пользователя, потому что в браузере существует так называемая песочница, которая защищает операционную систему от вредоносных действий. Тот эксплойт, который мы нашли, потому и важен, что он позволял полностью обойти эту песочницу и предоставить атакующим полный доступ к системе.

Мне все время казалось, что браузеры сейчас достаточно защищенные. Та же самая песочница, немало и других технологий. Даже если что-то пойдет не так, вероятность серьезного инцидента не слишком высока, если ты устанавливаешь обновления вовремя. Этот кейс доказывает, что все отнюдь не так.

И. К.: Если проводить аналогию, современный браузер — это как почтовое отделение, которое получает посылки со всего мира с неизвестным содержимым. А песочница — это как взрывная камера, где посылка взрывается, если там бомба. Так вот, в данной ситуации уязвимость заключалась в том, что некоторые посылки с вредоносной нагрузкой могли просто обойти «камеру», сразу же выйти полностью в систему пользователя и делать с ней все, что им заблагорассудится.

Вы назвали этот случай «побегом из песочницы». Может ли та же самая уязвимость обнаружиться в других браузерах?

И. К.: Как раз сегодня ночью компания Mozilla, которая делает браузер Firefox, построенный на совершенно другом движке, отличном от Chrome, сообщила о том, что они прочитали информацию об уязвимости, которую мы нашли, и обнаружили у себя точно такие же ошибки. Получается, что те, кто в данный момент пишут современные браузеры, пользуются примерно одними и теми же подходами к созданию песочницы. И где-то внутри этой логики создания песочницы есть ошибка.

А для других операционных систем такое возможно, или это специфика Windows?

И. К.: Конечно, на самом деле логические ошибки могут быть на любой операционной системе. Тут дело даже не в том, какая платформа, какое именно программное обеспечение. Это просто подход к тому, как реализуются механизмы безопасности. Если в них закралась логическая ошибка, она может быть реализована на любой платформе.

Какие техники, реализованные злоумышленниками в этом эксплойте, вы можете отметить?

И. К.: Я пока не могу рассказать подробности, поскольку мы еще ждем, когда компания Google полностью выкатит все обновления. Есть такое понятие, как окно обновления, есть принцип ответственного раскрытия сведений. Мы раскрыли Google информацию об этой уязвимости, а теперь ждем, пока все их пользователи обновятся. До тех пор мы просто не можем рассказать самые интересные вещи. 

Но если говорить в общем, то в процесс браузера, у которого не должно быть никакого доступа к функциям операционной системы, вдруг передается некий способ до них «достучаться». Технически это называется «хендл» (идентификатор, дескриптор). Мы говорим здесь об объекте, который позволяет получить все доступы, которые не должны предоставляться вообще. В итоге вся суть песочницы теряется.

Есть ли что-то общее между операцией «Форумный тролль» и нашумевшей «Операцией “Триангуляция”»?

И. К.: Да, есть. Причем не в атакующих. Мы никак не можем связать эти две атаки. Но подробности технической реализации этих атак наводят нас на мысль, что они схожи. Их, что называется, делали по одной методичке. Очень четко прослеживается методика разработки самой атаки, разработки эксплойтов, методы сокрытия от нас, защитников. Например, все компоненты эксплойта шифруются и выдаются только реальной жертве, ее пытаются максимально четко определить, то есть установить, что это на самом деле тот, кому нужно отдавать эксплойт. И даже методы определения жертвы очень схожи.

Используются графические методы, шейдеры внутри браузера для того, чтобы отрисовать некий элемент и от этого считать контрольную сумму. Ровно то же самое мы видели, например, в «Операции “Триангуляция”», когда рисовался желтый треугольник, потом от него считалась некая контрольная сумма и отдавалась на сервер управления. Так атакующие определяли тип устройства, графический процессор. Аналогичный метод использовался в данной атаке. Он никак не пересекается с «Триангуляцией» технически, по коду. Дело именно в подходах.

Кому по плечу реализация подобных подходов? Кто вообще способен заниматься такими вещами?

И. К.: Поток вредоносных программ, которые так разрабатываются, очень небольшой. И практически всегда мы называем это атаками, спонсируемыми государствами. По одной простой причине: разработать такую атаку, учитывая стоимость эксплойтов, вредоносных программ и операторов, очень дорого. На открытом рынке связки эксплойтов «нулевого дня», аналогичных тому, что использовался здесь, стоят от полутора миллионов долларов. Даже тот отдельный эксплойт, который мы отослали в компанию Google, просто выход за пределы песочницы (sandbox escape), стоит не меньше сотни тысяч долларов.

Как вы думаете, это все-таки случайность или кто-то заранее оставил «закладку», чтобы в нужный момент активировать ее?

И. К.: Это логическая ошибка. Никому не выгодно оставлять такие закладки в настолько популярных программах, ровно потому, что они могут «выстрелить в ногу» тому, кто их разработал. Ведь все пользуются, например, браузерами. Google Chrome — самый популярный. Кто бы ни разработал эту атаку, он наверняка тоже им пользуется. Никому не выгодно оставлять закладки намеренно, тем более что их могут найти другие атакующие и использовать против авторов.

Тот факт, что аналогичная ошибка нашлась и в браузере Firefox, в совершенно другой кодовой базе, тоже говорит о том, что это просто неправильный подход к проектированию.

Обнаружили ли вы какое-то противодействие со стороны потенциальных авторов, злоумышленников в ходе своего расследования?

И. К.: Да, конечно, было техническое противодействие. Атака разбита на несколько этапов, максимально интенсивно использовались методы предотвращения сбора информации защитниками. Даже самый первый скрипт, который начинал отрабатывать в браузере у жертвы, ничего вредоносного сначала не делал. Он собирал информацию о системе и отдавал атакующим. После этого сервер автоматически или вручную (этого мы точно не знаем) решал, отдавать ли следующий этап.

Везде использовалось шифрование, причем поверх HTTPS еще дополнительное — на эллиптических кривых. Ключи генерировались временные, все было сделано для того, чтобы даже если постфактум извлечь все взаимодействия между жертвой и атакующими, просто так все это расшифровать было бы невозможно. Это и есть те самые методы, которые предотвращают сбор сведений по всей атаке защитниками.

Какие рекомендации вы можете дать пользователям? Что им делать прямо сейчас? Обновиться и на этом забыть, или история еще не закончена и стоит быть настороже?

И. К.: Самое главное, конечно же, обновиться (и вообще обновлять весь софт). Но это только часть истории, потому что мы говорим о целевых атаках, которые очень дорогие. Они построены так, чтобы обходить защиту. Поэтому защита должна быть многослойная, сложная. Обязательно использовать Endpoint Detection and Response, ведь он создан для того, чтобы работать с целевыми атаками. Даже если это 0-day или суперсложная атака, все равно расширенный мониторинг ее обнаружит и соберет информацию.

Правильно ли я понял, что, если бы кто-то из потенциальных жертв не использовал ваш EDR, об этой атаке мог бы так никто и не узнать?

И. К.: Да. Мы гордимся нашими технологиями, и ровно благодаря им у нас есть возможность собирать все эти атаки. А благодаря нашим прекрасным экспертам у нас есть возможность их анализировать. Без связки очень продвинутой экспертизы и отличных продуктов такие атаки, в принципе, практически невозможно поймать.

Вы упомянули, что в Mozilla Firefox эта уязвимость устранена. Какова вероятность того, что она есть еще в каком-то популярном браузере?

И. К.: Уязвимости могут быть в самых разных программах. И, опять же, если говорить про браузеры, есть два основных движка. Все построено на базе либо Chromium, либо Firefox. Это большая часть рынка. Поэтому то, что исправляется в Chrome, с большой вероятностью также будет исправлено и во всех остальных браузерах. Опять же, в некоторых браузерах есть дополнительные механизмы защиты, которые могут предотвращать и такую эксплуатацию. Тут важно именно грамотно защищать. Без сомнения, очень важен мониторинг, поскольку такие атаки, если они пробивают все возможные слои защиты в самой программе, важно обнаруживать и останавливать.

Насколько полезно для обнаружения подобных атак машинное обучение в системах класса Extended Detection and Response, Security Information and Event Management (XDR, SIEM)?

И. К.: Машинное обучение — это очень широкий термин. На самом деле в том или ином виде мы используем его уже более десятка лет, поскольку как раз автоматика, которая обрабатывает большую часть потока образцов, построена в том числе на различных методах статистики. Это не генеративный ИИ, который сейчас везде. Это более простые, но при этом безотказные методы.

Если говорить, например, про SIEM, то там современное машинное обучение позволяет убрать так называемую alert fatigue — усталость от большого количества срабатываний. Как раз потому, что позволяет найти главное в бесконечном потоке и выделять, показывать оператору, а что же важного, критического происходит, на что обратить внимание.

Примерно когда будут опубликованы технические детали этой операции? И когда ждать этих деталей на вашем сайте?

И. К.: Тут мы пока зависим от компании Google, которая не определила еще рамки, когда же можно будет это раскрывать. По опыту это может быть от одного до нескольких месяцев.

Игорь, спасибо большое за содержательное интервью, за эксклюзивные детали об этой операции, получившей название «Форумный тролль». Ждем технических деталей, будем следить за развитием этой ситуации!