Candiru aurait espionné une agence de presse libanaise
![Image Un site du [gouvernement français] visé par des nationalistes turcs](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-pays-countries-attack-2024-885x690.jpg)
![Image Le groupe pro-russe APT29 cible des [élus allemands du CDU]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-group-people-2024-885x690.jpg)
Avast a révélé l’exploitation d’une faille zero-day de Chrome pour installer un logiciel-espion de Candiru contre une agence de presse libanaise
Candiru est, avec NSO Group, la principale société israélienne de cybersurveillance, régulièrement épinglée pour avoir fourni des logiciels espions à des acteurs étatiques pour qu’ils les utilisent contre des journalistes, des activistes ou des membres de l’opposition.
Avast vient ainsi de publier le compte-rendu d’une enquête sur l’utilisation d’un de ces logiciels contre une agence de presse libanaise. Le chercheur Jan Vojtešek indique avoir repéré au printemps 2022 une campagne d’attaques par des outils de Candiru, au Liban, en Turquie, au Yémen et en Palestine.
Concernant l’agence de presse, les attaquant ont d’abord compromis un site web utilisé par les employés de cette agence, pour rediriger des cibles choisies vers un serveur précis. Les hackers exploitaient ensuite une faille zero-day dans Google Chrome (CVE-2022-2294), un buffer overflow dans WebRTC, pour installer le spyware DevilsTongue sur les appareils visitant ce serveur.
La faille CVE-2022-2294 touchait par ailleurs tous les navigateurs basés sur Chromium, donc également Edge, Safari ou Avast Secure Browser. Une série de mises à jour, début juillet 2022, a permis de la corriger.