セキュリティ研究者は、Google Chromeで積極的に悪用されているが、その後修正されたゼロデイ脆弱性の発見を、中東のジャーナリストを標的とするイスラエルのスパイウェアメーカーに関連付けました。
サイバーセキュリティ会社のアバストは 搾取をリンクしました テルアビブに本拠を置く、Saito Techとしても知られるハッキング・フォー・ハッキング企業であるCandiruに、強力なスパイウェアを政府のクライアントに提供しています。 Candiruは、イスラエルのNSO Groupと同様に、そのソフトウェアが潜在的なテロや犯罪を阻止するために政府や法執行機関によって使用されるように設計されていると主張していますが、研究者は、権威ある政権がスパイウェアを使用してジャーナリスト、政治的反体制派、および抑圧的な政権。 カンディルは 制裁 米国の国家安全保障に反する活動に従事したことに対して米国商務省によって。」
アバストは、3月に、トルコ、イエメン、パレスチナの個人、およびカンディルが通信社の従業員が使用するWebサイトを侵害したレバノンのジャーナリストを標的とするために、Chromeのゼロデイエクスプロイトを使用してカンディルを観察したと述べました。
「攻撃者が何を求めていたのかはわかりませんが、攻撃者がジャーナリストを追いかける理由は、ジャーナリストと彼らが取り組んでいるストーリーを直接スパイしたり、情報源にアクセスして危険な情報を収集したりするためです。アバストのマルウェア研究者であるJanVojtěšekは次のように述べています。 「このような攻撃は報道の自由を脅かす可能性があります」とVojtěšekは述べています。
レバノンのニュースエージェンシーのウェブサイトに植えられたChromeのゼロデイエクスプロイトは、被害者のブラウザから、言語、タイムゾーン、画面情報、デバイスタイプ、ブラウザプラグイン、デバイスメモリなど、約50のデータポイントを収集するように設計されています。特に標的にされた人々のデバイスは最終的に危険にさらされました。 ターゲットが見つかると、Chromeのゼロデイ攻撃は、スパイウェアのペイロードを配信するために被害者のマシンに足場を作ります。これは、研究者がDevilsTongueと呼んでいます。
DevilsTongueは、他の政府グレードのスパイウェアと同様に、メッセージ、写真、通話記録などの被害者の電話の内容を盗み、被害者の位置をリアルタイムで追跡できます。
アバストは7月1日にCVE-2022-2294として追跡された脆弱性をGoogleに開示し、7月4日のChrome103のリリースで着陸日を修正しました。Google 当時言った 「CVE-2022-2294のエクスプロイトが実際に存在することを認識していました」。
カンディルが最初でした 露出 昨年7月にマイクロソフトとシチズンラボによって。 彼らの調査結果は、スパイウェアメーカーが10か国で少なくとも100人の活動家、ジャーナリスト、反体制派を標的にしていたことを示しています。 アバストによると、カンディルは、マルウェアを更新し、検出の取り組みを回避するための昨年のシチズンラボのレポートのリリースに続くこの最新の攻撃ラウンドまで、低迷した可能性があります。