Een Israëlisch bedrijf genaamd Candiru levert spyware en zeroday-exploits waarmee klanten aanvallen kunnen uitvoeren tegen doelwitten, zoals politici, activisten en journalisten, zo stellen Microsoft en Citizen Lab, onderdeel van de universiteit van Toronto, dat onderzoek doet naar het gebruik van politieke macht in cyberspace.
Volgens Microsoft zijn de malware en exploits van Candiru gebruikt om meer dan honderd slachtoffers wereldwijd te infecteren. Ongeveer de helft van de slachtoffers bevindt zich in Palestina. De overige slachtoffers werden in Israël, Iran, Libanon, Jemen, Catalonië, het Verenigd Koninkrijk, Turkije, Armenië en Singapore aangetroffen.
Het gaat onder andere om politici, mensenrechtenactivisten, journalisten, academici, ambassadepersoneel en politieke dissidenten. Citizen Lab laat weten dat Candiru voor de spyware-infrastructuur meer dan 750 domeinen gebruikt. Ook heeft het bedrijf domeinnamen geregistreerd die lijken op die van Amnesty International, Black Lives Matter, de Wereldgezondheidsorganisatie en nieuwsorganisaties.
Op basis van onderzoek stelt Microsoft dat Candiru verschillende kwetsbaarheden in browsers en Windows blijkt te gebruiken, waaronder zerodaylekken, om slachtoffers met malware te infecteren. Het gaat onder andere om twee zerodaykwetsbaarheden in de Windows-kernel waarvoor Microsoft afgelopen dinsdag beveiligingsupdates uitbracht. Voor de infectie biedt Candiru verschillende aanvalsvectoren, waaronder malafide links, man-in-the-middle-aanvallen en fysieke aanvallen.
De malware die Candiru levert, en door Microsoft DevilsTongue wordt genoemd. kan wachtwoorden uit browsers zoals Chrome en Firefox stelen. Daarnaast kan de malware berichten van de Signal-chatapp ontsleutelen en terugsturen naar de aanvallers. Ook steelt de malware uit verschillende browsers cookies voor websites zoals Facebook, Twitter, Gmail, Yahoo, Mail.ru, Odnoklassniki en Vkontakte om zo informatie uit gebruikersprofielen te verzamelen, berichten van het slachtoffer te lezen en foto's te downloaden.
Volgens Microsoft zijn de aanvallen voornamelijk gericht tegen de accounts van eindgebruikers, wat aangeeft dat klanten van Candiru het op bepaalde personen hadden voorzien. "Een wereld waar bedrijven cyberwapens ontwikkelen en verkopen is gevaarlijker voor particulieren, bedrijven en overheden", aldus Microsofts Cristin Goodwin.
Deze posting is gelocked. Reageren is niet meer mogelijk.