La società di sicurezza informatica Avast ha collegato lo sfruttamento a Candiru, una società di hacking a pagamento con sede a Tel Aviv, nota anche come Saito Tech, che fornisce il suo potente spyware a clienti governativi. Candiru, come l’israeliana NSO Group, sostiene che il suo software è stato progettato per essere utilizzato dalle agenzie governative e dalle forze dell’ordine per sventare potenziali atti di terrorismo e criminalità, ma i ricercatori hanno scoperto che i regimi autoritari hanno utilizzato lo spyware per colpire giornalisti, dissidenti politici e critici dei regimi repressivi. Candiru è stato sanzionato dal Dipartimento del Commercio degli Stati Uniti per aver intrapreso attività contrarie alla sicurezza nazionale degli Stati Uniti.
Avast ha dichiarato di aver osservato Candiru a marzo mentre utilizzava l’exploit zero-day di Chrome per colpire individui in Turchia, Yemen e Palestina, nonché giornalisti in Libano, dove Candiru ha compromesso un sito web utilizzato dai dipendenti di un’agenzia di stampa.
“Non possiamo dire con certezza quali fossero gli obiettivi degli aggressori, ma spesso il motivo per cui gli aggressori prendono di mira i giornalisti è quello di spiare direttamente loro e le storie a cui stanno lavorando, oppure di arrivare alle loro fonti e raccogliere informazioni compromettenti e dati sensibili che hanno condiviso con la stampa“, ha dichiarato Jan Vojtěšek, ricercatore malware di Avast. “Un attacco come questo potrebbe rappresentare una minaccia per la libertà di stampa“.
L’exploit zero-day di Chrome impiantato sul sito web dell’agenzia di stampa libanese è stato progettato per raccogliere circa 50 dati dal browser della vittima, tra cui la lingua, il fuso orario, le informazioni sullo schermo, il tipo di dispositivo, i plugin del browser e la memoria del dispositivo, probabilmente per garantire che solo i dispositivi di coloro che sono stati specificamente presi di mira siano stati alla fine compromessi. Una volta individuato l’obiettivo, il Chrome zero-day crea un punto d’appoggio sul computer della vittima per distribuire il payload dello spyware, che i ricercatori hanno battezzato DevilsTongue.
DevilsTongue, come altri spyware di livello governativo, può rubare il contenuto del telefono della vittima, compresi messaggi, foto e registri delle chiamate, e tracciarne la posizione in tempo reale.
Avast ha rivelato a Google la vulnerabilità, identificata con la sigla CVE-2022-2294, il 1° luglio; la correzione è arrivata pochi giorni dopo, il 4 luglio, con l’uscita di Chrome 103. All’epoca Google aveva dichiarato di essere “consapevole dell’esistenza di un exploit per CVE-2022-2294“.
Candiru è stato esposto per la prima volta da Microsoft e Citizen Lab nel luglio dello scorso anno. Le loro scoperte hanno mostrato che il produttore di spyware aveva preso di mira almeno 100 attivisti, giornalisti e dissidenti in 10 Paesi. Secondo Avast, è probabile che Candiru sia rimasto nascosto fino a quest’ultima serie di attacchi, dopo la pubblicazione del rapporto di Citizen Lab dello scorso anno, per aggiornare il suo malware ed eludere gli sforzi di rilevamento.