Este ataque encaja en una tendencia más amplia de gobiernos que atacan a periodistas en todo el mundo.
A principios de este verano, los investigadores de Avast Threat Labs descubrieron (sitio en inglés) una vulnerabilidad de día cero en Google Chrome cuando se utilizó en ataques contra usuarios de Avast en Oriente Medio. Los ataques fueron muy específicos y, en el Líbano, se centraron en los periodistas. El resto de los ataques tuvo lugar en Turquía, Yemen y Palestina.
Después de examinar el malware y las tácticas, técnicas y procedimientos (TTP) utilizados en los ataques, los investigadores determinaron que los llevó a cabo un grupo secreto de spyware que se hace llamar Candiru, entre otros nombres. Según CitizenLab, quien, junto con Microsoft, descubrió el grupo en 2021 (sitio en inglés), Candiru tiene su sede en Israel y se dice que solo vende su software espía a los gobiernos. Reclutan principalmente de la unidad de inteligencia de señales de las Fuerzas de Defensa de Israel.
Cuando Candiru se expuso por primera vez en julio de 2021, las víctimas de su spyware incluían "defensores de los derechos humanos, disidentes, periodistas, activistas y políticos" en Palestina, Israel, Irán, Líbano, Yemen, España, Reino Unido, Turquía, Armenia, y Singapur, según CitizenLab.
“Después de que Microsoft y CitizenLab expusieran a Candiru en julio de 2021, permaneció inactivo durante meses, probablemente tomándose su tiempo para actualizar su malware para evadir la detección existente”, dice Jan Vojtěšek, investigador de malware de Avast Threat Labs.
El ataque palestino en esta última ola se realizó a través de un sitio de pornografía, aunque los investigadores no tienen claro si el sitio en sí se vio comprometido o si Candiru utilizó publicidad maliciosa. Los anuncios infectados parecen un vector de infección impreciso, considerando el poder de este grupo. Pero cuando se tiene en cuenta el hecho de que sus clientes son siempre gobiernos, se puede inferir que probablemente tenían acceso a información sobre los sitios visitados a través de proveedores de servicios de Internet (ISP).
Sin embargo, la mayoría de los ataques se llevaron a cabo contra periodistas en el Líbano a través de un sistema de gestión de contenido interno (CMS) comprometido, que Vojtěšek cree que tenía una vulnerabilidad de secuencias de comandos entre sitios (XSS). Solo se podía acceder al sitio a través de una pantalla de inicio de sesión, lo que implica que Candiru tenía un conocimiento profundo de cómo trabajan los periodistas en esta publicación.
“Curiosamente, el sitio web comprometido contenía artefactos de ataques XSS persistentes, con páginas que contenían llamadas a la función de Javascript 'alerta' junto con palabras clave como 'prueba'”, dice Vojtěšek. “Suponemos que así es como los atacantes probaron la vulnerabilidad XSS, antes de explotarla de verdad inyectando un código que carga código JavaScript malicioso desde un dominio controlado por el atacante. Este código inyectado fue luego responsable de enrutar a las víctimas previstas (y sólo a las víctimas previstas) al servidor de explotación, a través de varios otros dominios controlados por el atacante”.
El sofisticado ataque comenzó con la creación de un perfil de las víctimas previstas que incluía alrededor de 50 puntos de datos, incluido el idioma, la zona horaria, la información de la pantalla, el tipo de dispositivo, los complementos del navegador, la referencia, la memoria del dispositivo, la funcionalidad de las cookies y más. Vojtěšek teoriza que esto se hizo para asegurarse de que la víctima fuera uno de los objetivos previstos. Luego, el servidor de explotación creó un túnel encriptado a través del cual entregó DevilsTongue, que es un software espía conocido. DevilsTongue tiene la capacidad de recopilar archivos, ejecutar consultas de registro, ejecutar comandos, consultar bases de datos SQLite, robar credenciales del navegador e incluso descifrar y extraer conversaciones de Signal.
Este ataque encaja en una tendencia más amplia de gobiernos que atacan a periodistas en todo el mundo (sitio en inglés). Por ejemplo, los periodistas del periódico más grande de El Salvador, El Faro, fueron atacados en 2020 y 2021. Ese ataque utilizó el software espía Pegasus, que pertenece al Grupo NSO. Si bien el gobierno negó la responsabilidad del ataque y NSO Group no dijo si había vendido el software al gobierno salvadoreño, NSO Group (que, como Candiru, tiene su sede en Israel) solo trabaja con clientes del gobierno. Estas dos empresas están conectadas de alguna manera, ya que se dice que el mayor accionista de Candiru también es el financiador fundador del Grupo NSO. Pegasus también se instaló en el teléfono de la esposa del difunto periodista saudita Jamal Khashoggi, quien fue asesinado en 2018 dentro del consulado saudita en Estambul, entre cientos de otros en todo el mundo.