Sicherheitsforscher haben die Entdeckung einer aktiv ausgenutzten, aber inzwischen behobenen Zero-Day-Schwachstelle in Google Chrome mit einem israelischen Spyware-Hersteller in Verbindung gebracht, der es auf Journalisten im Nahen Osten abgesehen hat.
Das Cybersicherheitsunternehmen Avast hat die Ausbeutung verbunden an Candiru, ein in Tel Aviv ansässiges Hacking-for-Hire-Unternehmen, auch bekannt als Saito Tech, das seine leistungsstarke Spyware Regierungskunden anbietet. Candiru behauptet, ähnlich wie Israels NSO Group, dass seine Software dazu bestimmt ist, von Regierungs- und Strafverfolgungsbehörden verwendet zu werden, um potenziellen Terrorismus und Kriminalität zu vereiteln, aber Forscher haben herausgefunden, dass autoritäre Regime die Spyware verwendet haben, um Journalisten, politische Dissidenten und Kritiker anzugreifen repressive Regime. Candiru war sanktioniert vom US-Handelsministerium wegen Beteiligung an Aktivitäten, die der nationalen Sicherheit der USA zuwiderlaufen.“
Avast sagte, es habe im März beobachtet, wie Candiru den Chrome-Zero-Day-Exploit benutzte, um Personen in der Türkei, im Jemen und in Palästina anzugreifen – sowie Journalisten im Libanon, wo Candiru eine von Mitarbeitern einer Nachrichtenagentur genutzte Website kompromittiert hatte.
„Wir können nicht mit Sicherheit sagen, was die Angreifer hinter sich haben könnten, aber oft verfolgen Angreifer Journalisten aus dem Grund, sie und die Geschichten, an denen sie arbeiten, direkt auszuspionieren oder an ihre Quellen zu gelangen und kompromittierende Informationen zu sammeln und sensible Daten, die sie mit der Presse geteilt haben“, sagte Jan Vojtěšek, Malware-Forscher bei Avast. „Ein solcher Angriff könnte die Pressefreiheit gefährden“, sagte Vojtěšek.
Der Zero-Day-Exploit von Chrome, der auf der Website der libanesischen Nachrichtenagentur platziert wurde, wurde entwickelt, um etwa 50 Datenpunkte aus dem Browser eines Opfers zu sammeln, einschließlich Sprache, Zeitzone, Bildschirminformationen, Gerätetyp, Browser-Plugins und Gerätespeicher, um wahrscheinlich nur dies sicherzustellen Die Geräte derjenigen, die speziell angegriffen wurden, wurden letztendlich kompromittiert. Wenn ein Ziel gefunden wird, schafft Chrome Zero-Day auf dem Computer des Opfers Fuß zu fassen, um die Spyware-Payload auszuliefern, die Forscher DevilsTongue getauft haben.
DevilsTongue kann wie andere staatliche Spyware den Inhalt des Telefons eines Opfers stehlen, einschließlich Nachrichten, Fotos, Anrufprotokolle, und den Standort eines Opfers in Echtzeit verfolgen.
Avast hat die Schwachstelle, die als CVE-2022-2294 verfolgt wird, am 1. Juli an Google weitergegeben, mit einem Fix, der Tage später am 4. Juli mit der Veröffentlichung von Chrome 103 landet. Google sagte damals es war „bewusst, dass ein Exploit für CVE-2022-2294 in freier Wildbahn existiert“.
Candiru war der erste ausgesetzt von Microsoft und Citizen Lab im Juli letzten Jahres. Ihre Ergebnisse zeigten, dass der Spyware-Hersteller mindestens 100 Aktivisten, Journalisten und Dissidenten in 10 Ländern ins Visier genommen hatte. Laut Avast hat sich Candiru wahrscheinlich bis zu dieser letzten Angriffsrunde nach der Veröffentlichung des Citizen Lab-Berichts im letzten Jahr zurückgehalten, um seine Malware zu aktualisieren und die Erkennungsbemühungen zu umgehen.