ربط باحثو الأمن اكتشاف ثغرة أمنية تم استغلالها بشكل نشط ولكن تم إصلاحها منذ ذلك الحين في "جوجل كروم" بصانع برامج تجسس إسرائيلي يستهدف الصحفيين في الشرق الأوسط، بحسب ما أورده موقع "تك كرانش" المتخصص في الأمن الإلكتروني.
وبحسب تقرير الموقع الذي أعده الكاتب "مات برنز" وترجمه للعربية "الموقع بوست" فقد ربطت شركة الأمن السيبراني أڤاست الاستغلال بشركة كانديرو، وهي شركة قرصنة للتأجير مقرها تل أبيب تُعرف أيضًا باسم سايتو تك، والتي توفر برامج التجسس القوية لعملائها الحكوميين.
وتزعم كانديرو، مثلها مثل مجموعة إن إس أو الإسرائيلية، أن برامجها مصممة لتستخدمها الحكومة ووكالات إنفاذ القانون لإحباط الإرهاب والجريمة المحتملة، لكن الباحثين وجدوا أن الأنظمة الاستبدادية استخدمت برامج التجسس لاستهداف الصحفيين والمعارضين السياسيين ومنتقدي قمع الأنظمة. وقد تم فرض عقوبات على كانديرو من قبل وزارة التجارة الأمريكية لمشاركتها في أنشطة تتعارض مع الأمن القومي للولايات المتحدة.
وذكرت أفاست إنها رصدت كانديرو في مارس/ آذار وهي تستخدم ثغرة يوم الصفر في جوجل كروم لاستهداف الأفراد في تركيا واليمن وفلسطين- وكذلك الصحفيين في لبنان، حيث اخترق كانديرو موقعًا إلكترونيًا يستخدمه موظفو وكالة أنباء.
وقال جان فويتشيك، الباحث في البرامج الضارة في أفاست: "لا يمكننا أن نقول على وجه اليقين ما الذي قد يكون المهاجمون وراءه، ولكن غالبًا ما يكون السبب وراء ملاحقة المهاجمين للصحفيين هو التجسس عليهم وعلى القصص التي يعملون عليها مباشرةً، أو الوصول إلى مصادرهم وجمع المعلومات المخالفة".
وتابع "هجوم مثل هذا يمكن أن يشكل تهديدا لحرية الصحافة".
وقد تم تصميم استغلال كروم زيرو- داي المزروع على موقع وكالة الأنباء اللبنانية لجمع حوالي 50 نقطة بيانات من متصفح الضحية، بما في ذلك اللغة والمنطقة الزمنية ومعلومات الشاشة ونوع الجهاز والمكونات الإضافية للمتصفح وذاكرة الجهاز، والتي من المرجح أن تضمن أن تم اختراق أجهزة أولئك المستهدفين بشكل خاص في نهاية المطاف.
وعندما يتم العثور على هدف، ينشئ كروم زيرو- داي موطئ قدم على جهاز الضحية من أجل تسليم حمولة برامج التجسس، والتي أطلق عليها الباحثون اسم ديفيلز تانج.
وطبقا لكاتب التقرير "مات برنز"، يمكن لـ "ديفيلز تانج"، مثل برامج التجسس الحكومية الأخرى، سرقة محتويات هاتف الضحية، بما في ذلك الرسائل والصور وسجلات المكالمات وتتبع موقع الضحية في الوقت الفعلي.
وكشفت أفاست عن الثغرة الأمنية، التي تم تتبعها كـ CVE-2022-2294، إلى جوجل في 1 يوليو، مع إصلاح الهبوط بعد أيام في 4 يوليو مع إصدار كروم 103. وقالت جوجل في ذلك الوقت إنها "تدرك أن استغلال CVE- 2022-2294 موجود في البرية".
كما تم الكشف عن كانديرو لأول مرة بواسطة ميكروسوفت وسيتزين لاب في يوليو من العام الماضي. حيث أظهرت النتائج التي توصلوا إليها أن صانع برامج التجسس استهدف ما لا يقل عن 100 ناشط وصحفي ومعارض في 10 دول.
ووفقًا لـ أفاست، من المحتمل أن تكون كانديرو منخفضة حتى هذه الجولة الأخيرة من الهجمات التي أعقبت إصدار تقرير سيتزن لاب العام الماضي لتحديث البرامج الضارة والتهرب من جهود الكشف.
*يمكن الرجوع للمادة الأصل: هنا
*ترجمة خاصة بالموقع بوست