ΑρχικήsecurityChrome zero-day ευπάθεια χρησιμοποιήθηκε για τη μόλυνση δημοσιογράφων με spyware

Chrome zero-day ευπάθεια χρησιμοποιήθηκε για τη μόλυνση δημοσιογράφων με spyware

Ο προμηθευτής spyware Candiru (γνωστή και ως Saito Tech), με έδρα το Ισραήλ, βρέθηκε να χρησιμοποιεί μια ευπάθεια zero-day στο Google Chrome για να κατασκοπεύει δημοσιογράφους και άλλα σημαντικά άτομα στη Μέση Ανατολή με το spyware “DevilsTongue“. Η εταιρεία προσφέρει υπηρεσίες spyware σε κυβερνήσεις.

spyware Candiru

Η Candiru, όπως και η NSO Group, ισχυρίζεται ότι το λογισμικό της έχει σχεδιαστεί για να χρησιμοποιείται από κυβερνήσεις και υπηρεσίες επιβολής του νόμου για να αποτρέψουν πιθανή τρομοκρατία και έγκλημα, αλλά οι ερευνητές ανακάλυψαν ότι αυταρχικά καθεστώτα έχουν χρησιμοποιήσει το spyware για να στοχοποιήσουν δημοσιογράφους, πολιτικούς αντιφρονούντες και επικριτές καταπιεστικών καθεστώτων. Η Candiru έχει δεχτεί κυρώσεις από το Υπουργείο Εμπορίου των ΗΠΑ για συμμετοχή σε δραστηριότητες αντίθετες με την εθνική ασφάλεια των ΗΠΑ.

Δείτε επίσης: Windows 11: Το KB5015882 update διορθώνει bugs που προκαλούν προβλήματα στο File Explorer

Το zero-day σφάλμα που εκμεταλλευόταν το spyware “DevilsTongue“, παρακολουθείται ως CVE-2022-2294 και είναι ένα heap-based buffer overflow σφάλμα υψηλής σοβαρότητας στο WebRTC. Η επιτυχημένη εκμετάλλευσή του μπορεί να οδηγήσει σε εκτέλεση κώδικα στη συσκευή-στόχο.

Η Google διόρθωσε τη zero-day ευπάθεια στις 4 Ιουλίου και αποκάλυψε τότε ότι η ευπάθεια χρησιμοποιούνταν ήδη σε επιθέσεις. Ωστόσο, η εταιρεία δεν είχε δώσει περισσότερες λεπτομέρειες γι’ αυτές τις επιθέσεις.

Η ευπάθεια ανακαλύφθηκε και αναφέρθηκε στη Google από ερευνητές της Avast. Σύμφωνα με την έκθεση των ερευνητών, η ευπάθεια ανακαλύφθηκε μετά από έρευνα για επιθέσεις spyware στους πελάτες τους.

Σύμφωνα με την Avast, η Candiru άρχισε να εκμεταλλεύεται τη zero-day ευπάθεια CVE-2022-2294 τον Μάρτιο του 2022, στοχεύοντας χρήστες στον Λίβανο, την Τουρκία, την Υεμένη και την Παλαιστίνη.

Οι χειριστές του spyware χρησιμοποίησαν κοινές τακτικές επίθεσης, παραβιάζοντας έναν ιστότοπο που επισκέπτονται οι στόχοι τους και εκμεταλλευόμενοι μια άγνωστη ευπάθεια στο πρόγραμμα περιήγησης. Τελικός στόχος η μόλυνση με spyware. Αυτή η επίθεση είναι ιδιαίτερα επικίνδυνη επειδή δεν απαιτεί αλληλεπίδραση με το θύμα, όπως κλικ σε έναν σύνδεσμο ή λήψη ενός αρχείου. Αντίθετα, το μόνο που χρειάζεται είναι το άνοιγμα ενός site στο Google Chrome ή σε άλλο πρόγραμμα περιήγησης που βασίζεται στο Chromium.

Αυτά τα sites μπορεί είτε να είναι νόμιμα που παραβιάστηκαν με κάποιο τρόπο είτε κακόβουλα που δημιουργήθηκαν απευθείας από τους επιτιθέμενους και προωθήθηκαν μέσω spear phishing ή άλλων μεθόδων.

Σύμφωνα με την έκθεση των ερευνητών, σε μια περίπτωση, οι επιτιθέμενοι παραβίασαν έναν ιστότοπο που χρησιμοποιήθηκε από ένα πρακτορείο ειδήσεων στο Λίβανο και τοποθέτησαν JavaScript snippets που επέτρεπαν επιθέσεις XXS (cross-site scripting) και οδηγούν έγκυρους στόχους στον exploit server.

Δείτε επίσης: Τα Windows 11 αποκλείουν τις επιθέσεις RDP brute-force από προεπιλογή

Μόλις τα θύματα φτάνουν στον διακομιστή, δημιουργούνται προφίλ με πολλές λεπτομέρειες.

Οι πληροφορίες που συλλέγονται περιλαμβάνουν τη γλώσσα του θύματος, τη ζώνη ώρας, τις πληροφορίες οθόνης, τον τύπο συσκευής, τα browser plugins, το referrer, τη μνήμη της συσκευής, τη λειτουργία cookies και άλλα“, εξηγεί η αναφορά της Avast.

Στην περίπτωση του Λιβάνου, το zero-day επέτρεψε στους εισβολείς να επιτύχουν την εκτέλεση shellcode μέσα σε renderer process και συνδυάστηκε με ένα sandbox escape flaw που η Avast δεν μπόρεσε να ανακτήσει για ανάλυση.

Επειδή το ελάττωμα εντοπίστηκε στο WebRTC, επηρέασε και το πρόγραμμα περιήγησης Safari της Apple. Ωστόσο, το exploit που είδε η Avast λειτούργησε μόνο στα Windows.

Chrome zero-day

Μετά την αρχική μόλυνση, το DevilsTongue spyware της Candiru χρησιμοποίησε ένα βήμα BYOVD (“bring your own driver”) για να αυξήσει τα προνόμιά του και να αποκτήσει read and write πρόσβαση στη μνήμη της παραβιασμένης συσκευής.

Αν και δεν είναι ξεκάθαρο ποια δεδομένα στόχευαν οι επιτιθέμενοι, η Avast πιστεύει ότι οι παράγοντες απειλών τα χρησιμοποίησαν για να μάθουν περισσότερα σχετικά με τις ειδήσεις που ερευνούσε ο δημοσιογράφος-στόχος.

Δεν μπορούμε να πούμε με βεβαιότητα τι θα μπορούσαν να αναζητούσαν οι επιτιθέμενοι, ωστόσο, συχνά, ο λόγος για τον οποίο οι επιτιθέμενοι καταδιώκουν δημοσιογράφους είναι για να τους κατασκοπεύσουν για τις ιστορίες τις οποίες επεξεργάζονται ή για να φτάσουν στις πηγές τους και να συλλέξουν ευαίσθητα δεδομένα που μοιράστηκαν με τον Τύπο“. – Avast.

Δείτε επίσης: Neopets: Παραβίαση εκθέτει προσωπικά στοιχεία 69 εκατομμυρίων μελών

Candiru spyware: Συνεχιζόμενη απειλή spyware

Είναι γνωστό ότι οι πωλητές spyware αγοράζουν ή δημιουργούν zero-day exploits για να επιτεθούν σε άτομα που ενδιαφέρουν τους πελάτες τους.

Την τελευταία φορά που η Candiru εκτέθηκε από τη Microsoft και τη Citizen Lab, απέσυρε όλες τις λειτουργίες του DevilsTongue και εργάστηκε κρυφά για να εφαρμόσει νέα zero-days, όπως αποκαλύπτει τώρα η Avast.

Αυτό σημαίνει ότι οι ενημερώσεις ασφαλείας δεν είναι αρκετές, αφού οι προμηθευτές spyware βρίσκουν συνεχώς νέους τρόπους επίθεσης.

Η Apple προσπαθεί να αντιμετωπίσει την απειλή του spyware, φέρνοντας μια νέα δυνατότητα iOS 16 που ονομάζεται “Lockdown Mode“, η οποία θα παρέχει στους πελάτες προστασία που σχετίζεται με την ανταλλαγή μηνυμάτων, την περιήγηση στο διαδίκτυο και γενικά τη συνδεσιμότητα, ώστε να μην κινδυνεύουν από κάποιο spyware (όπως το Pegasus της NSO Group) που μπορεί να χρησιμοποιείται από hackers που υποστηρίζονται από κυβερνήσεις.

Πηγή: www.bleepingcomputer.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS