Google Chrome’daki sıfır gün güvenlik açığı, köklü casus yazılım grubu Candiru tarafından Orta Doğu’daki kullanıcıları, özellikle de Lübnan’daki gazetecileri tehlikeye atmak için kullanıldı.
Avast araştırmacıları, saldırganların Lübnan’daki haber ajansı çalışanları tarafından kullanılan bir web sitesinin güvenliğini ihlal ettiğini ve kod enjekte ettiğini söyledi. Bu kod belirli, hedeflenen kullanıcıları tanımladı ve onları bir istismar sunucusuna yönlendirdi. Saldırganlar, hedeflenen hedefe sahip olduklarını doğrulamak için dil, cihaz türü, saat dilimi ve çok daha fazlasını içeren yaklaşık 50 veri noktasından oluşan bir küme toplar.
Ekip, istismar zincirinin en sonunda, saldırganların DevilsTongue casus yazılımını bıraktığını belirtti.
Avast araştırmacıları, “Saldırıyı gerçekleştirmek için kullanılan kötü amaçlı yazılımlara ve TTP’lere dayanarak, bunu en yaygın olarak Candiru olarak bilinen birçok isme sahip gizli bir casus yazılım satıcısına güvenle bağlayabiliriz” dedi.
Aynı Avast ekibi tarafından keşfedilen orijinal güvenlik açığı (CVE-2022-2294), WebRTC’deki bir bellek bozulması hatasının sonucuydu. Google, 4 Temmuz’da bir yama yayınladı.
James Sebree, “Burada keşfedilen güvenlik açıkları, özellikle etkilenen ürünlerin sayısı açısından ne kadar geniş kapsamlı olduklarından dolayı – çoğu modern masaüstü tarayıcılar, mobil tarayıcılar ve WebRTC’nin etkilenen bileşenlerini kullanan diğer tüm ürünler – kesinlikle ciddi. Tenable ile kıdemli personel araştırma mühendisi, e-posta yoluyla söyledi. “Başarılı bir şekilde istismar edilirse, bir saldırgan potansiyel olarak belirli bir kurbanın bilgisayarında kendi kötü amaçlı kodunu çalıştırabilir ve kötü amaçlı yazılım yükleyebilir, kurbanı gözetleyebilir, bilgi çalabilir veya başka bir dizi hain eylem gerçekleştirebilir.”
Ama Sebree ekledi, orijinal yığın taşması hatası istismar edilmesi karmaşıktır ve büyük olasılıkla yaygın, genelleştirilmiş saldırılarla sonuçlanmaz.
Sebree, “Bu güvenlik açığını kullanan herhangi bir saldırının yüksek oranda hedeflenmesi muhtemeldir” dedi. “Bu güvenlik açığından yararlanan genelleştirilmiş saldırılar görmemiz olası olmasa da, şans sıfır değil ve kuruluşların buna göre düzeltme yapması gerekiyor.”
Candiru (aka Sourgum, Grindavik, Saito Tech ve Taveta) iddiaya göre ŞeytanlarDil gözetim kötü amaçlı yazılımları dünya çapındaki hükümetlere İsrailli şirket, kötü şöhretli Pegasus casus yazılımının üreticisi olan NSO Group’tan ayrılan mühendisler tarafından kuruldu.
ABD Ticaret Bakanlığı geçen yıl Candiru’yu “Varlık Listesine” ekleyerek şirketle ticareti fiilen yasakladı. Liste, ABD ulusal güvenliği veya dış politikası için risk oluşturduğu düşünülenleri kısıtlamak için kullanılıyor.