Das israelische Unternehmen Candiru soll hinter Cyberangriffen auf Journalisten stehen

Hacker nutzten eine nicht erkennbare Schwachstelle in Google Chrome aus.

Laut dem Cybersicherheitsunternehmen Avast wurde am 1. Juli eine Zero-Day-Schwachstelle im Chrome-Webbrowser von Google entdeckt, als er verwendet wurde, um Journalisten im Nahen Osten anzugreifen. Die Mehrzahl der Anschläge fand im Libanon statt.

 „Basierend auf der Malware und den TTPs, die zur Durchführung des Angriffs verwendet wurden, können wir ihn getrost einem geheimen Spyware-Anbieter mit vielen Namen zuordnen, der am häufigsten als Candiru bekannt ist“, schrieb Avast.

Candiru , auch bekannt als SAITO Tech, ist ein israelisches Technologieunternehmen, das Cyberspionage betreibt, häufig für Regierungskunden. Das Unternehmen wurde von der US-Regierung wegen seines Verhaltens, das angeblich der nationalen Sicherheit schadet, auf die schwarze Liste gesetzt.

„Der Grund, warum Angreifer Journalisten verfolgen, besteht darin, sie und die Geschichten, an denen sie arbeiten, direkt auszuspionieren oder an ihre Quellen zu gelangen und kompromittierende Informationen und sensible Daten zu sammeln, die sie mit der Presse geteilt haben.“

Avast

Cyberangriffe richteten sich gegen Journalisten aus dem Nahen Osten
Laut Avast wurde bei den Cyberangriffen im Libanon eine Website kompromittiert, die von Journalisten besucht wurde. Obwohl die Motive von Candiru unklar waren, „ist der Grund, warum Angreifer Journalisten verfolgen, der, sie und die Geschichten, an denen sie arbeiten, direkt auszuspionieren oder an ihre Quellen zu gelangen und kompromittierende Informationen und sensible Daten zu sammeln, die sie mit der Presse geteilt haben“. Cybersicherheitsfirma erklärt.

 Neben dem Libanon ereigneten sich die Angriffe in der Türkei, im Jemen und in den palästinensischen Gebieten. Avast behauptete, dass Candiru im März nach einer Phase minimaler Aktivität, die bis Juli 2021 zurückreicht, als seine Aktivität von Microsoft und CitizenLab aufgedeckt wurde, mit einem aktualisierten Satz von Tools zurückgekehrt sei.

Durch die Nutzung der Zero-Day-Schwachstelle, die vom Browser nicht erkannt werden konnte, haben die Angreifer Websites kompromittiert und Websites speziell für ihre Zwecke erstellt, beschrieb Android Police. Benutzer fielen dem Trick zum Opfer, indem sie einfach eine dieser Seiten öffneten.

Wichtige Daten, die durch Cyberangriffe erlangt wurden
Den Betroffenen wurden laut Android Police ihre browserbasierten sensiblen Daten entführt, darunter bis zu 50 Datenpunkte wie Sprache, Cookies, Gerätetyp und Zeitzone. Außerdem war Apples Safari-Webbrowser ebenfalls anfällig für die Angriffe, obwohl Avast sah, dass nur Windows-Geräte betroffen waren.

Dass die Angriffe von Candiru entdeckt wurden, unterstreicht den Wert von Cybersicherheitsfirmen, die nach Söldner-Spyware Ausschau halten, sagte Bill Marczak, ein Mitglied der CitizenLab-Untersuchung des Unternehmens. „Mindestens fünf Sicherheitsunternehmen, darunter Avast, haben Candiru-Angriffe entdeckt, gebrannt und veröffentlicht, die sich gegen ihre Kunden mit Microsoft Windows richten. „Candiru scheint auch Fähigkeiten gegen Mobiltelefone aufrechtzuerhalten, aber soweit wir wissen, wurde nichts davon entdeckt.“

Google hat die Situation mit einem Chrome-Update am 4. Juli behoben, aber diejenigen, die ihren Browser nicht aktualisiert haben, sind immer noch gefährdet.

Autor: Redaktion
Bild Quelle: Archiv

Dienstag, 26 Juli 2022