網絡安全公司 Avast,剛剛將一個在 Google Chrome 瀏覽器中被積極利用(現已修復)的零日漏洞,與一家針對中東記者的以色列間諜軟件製造商聯繫了起來。據悉,作為一家總部位於特拉維夫的黑客雇傭公司,Candiru(又稱 Saito Tech)與此前被捲入醜聞的 NSO Group 非常相似,主要向政府客戶提供強大的間諜軟件。
(來自:Avast)
儘管 Candiru 冠冕堂皇地宣稱,其軟件旨在供政府與執法機構用來阻止潛在的恐怖主義和犯罪。
但研究人員發現,有關部門在利用間諜軟件針對記者、不同政見者和鎮壓制度批評者。
去年 11 月,美政府將四家從事違反美國國家安全活動的外國公司,列入了美國商務部的制裁名單。
除了 NSO Group、Computer Security Initiative Consultancy PTE(COSEINC)和 Positive Technologies,Candiru 也榜上有名。
注入受感染網站(stylishblock[.]com)的惡意代碼
Avast 表示,其在 3 月份觀察到 Candiru 在利用 Chrome 零日漏洞,向土耳其、也門、巴勒斯坦的個人和黎巴嫩的記者發起了攻擊,並且侵入了一家新聞機構員工使用的網站。
Avast 惡意軟件研究員 Jan Vojtěšek 表示:“雖然無法確定攻擊者的真實目的,但攻擊追捕記者或找到泄露消息來源的做法,或對新聞自由構成威脅”。
以植入黎巴嫩新聞機構網站的 Chrome 零日漏洞為例,其旨在從受害者的瀏覽器中收集大約 50 個數據點。
通過分析語言、時區、屏幕信息、設備類型、瀏覽器插件和設備內存,來確保只有被特別針對的目標會受到損害。
找到目標后,間諜軟件會利用 Chrome 零日漏洞在受害者的機器上紮根,研究人員稱之為‘魔鬼舌’(DevilsTongue)。
易受攻擊的 ioctl 處理程序之一
與其它此類間諜軟件一樣,DevilsTongue 能夠竊取受害者手機上的內容 —— 包括消息、照片和通話記錄,並實時跟蹤受害者的位置。
Avast 於 7 月 1 日向 Google 披露了該漏洞(編號為 CVE-2022-2294),並於幾天後(7 月 4 日)發布的 Chrome 103 中加以修復。
當時 Google 表示其已意識到在野外的漏洞利用,而自去年 7 月被微軟和 Citizen Lab 首次曝光以來,相關調查表明該間諜軟件製造商已至少針對百餘名目標發起了攻擊。
Avast 補充道:在去年 Citizen Lab 更新其惡意軟件以躲避安全檢測后,Candiru 似乎一直保持着低調,直到最近一輪攻擊才又冒頭。