Web-инструмент для шпионажа Tetris эксплуатирует уязвимости в 58 сайтах

[Artifact]

Использующая Tetris группировка предположительно работает на китайское правительство.

Исследователь безопасности под псевдонимом Imp0rtp3 обнаружил фреймворк для осуществления web-атак, предположительно разработанный хакерами, финансируемыми правительством Китая. По словам исследователя, инструмент под названием Tetris использовался для эксплуатации уязвимостей в 58 сайтах с целью слежения за политическими диссидентами. 57 из них – это популярные китайские порталы, а еще один – сайт американской газеты New York Times.
Помимо эксплуатации уязвимостей Tetris также использует легитимные функции браузера для записи нажатий клавиш на клавиатуре, похищения подробностей об используемой ОС и геолокационных данных, а также для снимков лица жертвы с помощью web-камеры. Однако, в отличие от эксплуатации уязвимостей вышеописанная активность не проходит незамеченной и вызывает появление соответствующих уведомлений в браузере.
Как отметил исследователь, Tetris представляет собой сложный web-инструмент для шпионажа. Он был тайно загружен на два сайта с китайской аудиторией. Как только пользователь открывал один из них, активировался первый из двух компонентов инструмента под названием Jetriz, собирающий данные о браузере пользователя. Если в настройках браузера был установлен китайский язык, потенциальная жертва переадресовывалась на второй компонент под названием Swid, загружающий в браузер 15 разных плагинов (JavaScript-файлов). Восемь плагинов использовали технику JSON hijacking для открытия соединения с популярными сайтами и извлекали публичные данные пользователя.
Хотя данная техника не позволяет похищать пароли или cookie-файлы авторизации, по словам Imp0rtp3, злоумышленники могут собирать такие данные как имена пользователя, номера телефонов и настоящие имена. Подобную информацию затем вполне можно связать с конкретной личностью.
Исследователь не сомневается, что использующая фреймворк группировка работает на правительство Китая. В пользу этой теории свидетельствует тот факт, что хакеров интересует только ограниченный круг лиц, использующих китайскую раскладку клавиатуры и читающих издания, критикующие действующее правительство КНР.