Spyware de la empresa israelí Candiru en el foco de las investigaciones. ESET expone los ataques de pozos de agua contra los medios, el gobierno y los contratistas de defensa. Los objetivos son los sitios web de las empresas.
Los investigadores del fabricante europeo de seguridad informática ESET han descubierto ataques estratégicos en los sitios web de los medios de comunicación, gobiernos, proveedores de servicios de Internet y empresas de aviación y defensa. De acuerdo con el conocimiento actual, el enfoque está en organizaciones en países de Medio Oriente o con conexiones allí. Irán, Arabia Saudita, Siria, Italia, Gran Bretaña, Sudáfrica y principalmente Yemen se ven afectados.
Orientación a sitios web alemanes
Alemania también fue objetivo de los ciberespías: los atacantes falsificaron el sitio web de la feria médica Medica, con sede en Düsseldorf. La campaña de piratería puede estar estrechamente relacionada con Candiru, un fabricante israelí de software espía. El Departamento de Comercio de EE. UU. incluyó a la empresa en la lista negra a principios de noviembre de 2021 por vender software y servicios de ataque de última generación a agencias gubernamentales. Los investigadores de seguridad de ESET publicaron detalles técnicos en https://www.welivesecurity.com/deutsch/2021/11/17/watering-hole-attacke-im-nahen-osten/
La variedad de sitios web atacados es considerable
- Medios en el Reino Unido, Yemen y Arabia Saudita y sobre Hezbollah
- Instituciones gubernamentales en Irán (Ministerio de Relaciones Exteriores), en Siria (incluido el Ministerio de Electricidad) y en Yemen (incluido el Ministerio del Interior y Finanzas)
- Proveedores de servicios de Internet en Yemen y Siria
- Empresas de ingeniería aeroespacial/militar en Italia y Sudáfrica
- Feria médica en Alemania
Máximo secreto en los ataques de abrevadero
Se utilizaron los llamados "ataques de pozo de agua", que están dirigidos muy específicamente a los usuarios de Internet en una industria o función específica. Al hacerlo, los ciberdelincuentes identifican los sitios web que las víctimas visitan con frecuencia. El objetivo es infectar el sitio web con malware y, además, la computadora de la persona objetivo. En esta campaña detectada, ciertos visitantes del sitio web probablemente fueron atacados a través de un exploit del navegador. Esto se hizo de una manera muy específica y con un uso mínimo de exploits de día cero. Los actores obviamente estaban trabajando de una manera muy concentrada y tratando de limitar las operaciones. Probablemente no querían que sus acciones se publicaran de ninguna manera. No hay otra forma de explicar por qué ESET no pudo descubrir exploits ni payloads.
El sistema de vulnerabilidades de ESET hizo sonar la alarma ya en 2020
“En 2018, creamos un sistema interno personalizado para descubrir vulnerabilidades en sitios web de alto perfil. El 11 de julio de 2020, nuestro sistema informó que el sitio web de la embajada iraní en Abu Dabi estaba infectado con código JavaScript malicioso. Nuestra curiosidad se despertó ya que era un sitio web del gobierno. En las semanas siguientes, notamos que otros sitios web con conexiones a Medio Oriente también estaban siendo atacados”, dice el investigador de ESET Matthieu Faou, quien descubrió las campañas de Watering Hole.
Durante la campaña 2020, el código malicioso utilizado verificó el sistema operativo y el navegador web utilizado. Solo se atacaron servidores y sistemas informáticos estacionarios. En la segunda ola, los atacantes comenzaron a modificar los scripts que ya estaban en los sitios web comprometidos. Esto permitió a los atacantes pasar desapercibidos. “Después de una pausa prolongada que duró hasta enero de 2021, vimos nuevas campañas de ataque. Esta segunda ola duró hasta agosto de 2021”, añade Faou.
MEDICA en Düsseldorf también fue atacada
Los atacantes también estaban activos en Alemania y falsificaron un sitio web perteneciente a la feria comercial MEDICA ("World Forum for Medicine"). Clonaron el sitio web original y agregaron una pequeña pieza de código JavaScript. Es probable que los atacantes no hayan podido comprometer el sitio web legítimo. Entonces se vieron obligados a configurar un sitio web falso para inyectar el código malicioso.
La compañía israelí de spyware Candiru en el crepúsculo
Una publicación de blog de Citizen Lab en la Universidad de Toronto sobre la empresa israelí Candiru informa en la sección "¿Un clúster vinculado a Arabia Saudita?" un documento de phishing subido que se cargó en VirusTotal. También se mencionaron varios dominios operados por los atacantes. Los nombres de dominio son variaciones de acortadores de URL reales y sitios web de análisis web. "Así que es la misma técnica utilizada para los dominios en los ataques de abrevadero", explica el investigador de ESET, vinculando los ataques con Candiru.
No se considera improbable que los operadores de las campañas de abrevadero puedan ser clientes de Candiru. La compañía de espionaje israelí se agregó recientemente a la Lista de entidades del Departamento de Comercio de EE. UU. Esto puede impedir que cualquier organización con sede en los EE. UU. haga negocios con Candiru sin obtener primero una licencia del Departamento de Comercio.
Estado actual
Los patrocinadores de los ataques al abrevadero parecen estar tomándose un descanso. Pueden usar el tiempo para reorganizar su campaña y hacerla menos llamativa. Los investigadores de seguridad de ESET esperan volver a estar activos en los próximos meses. Más detalles técnicos sobre estos ataques Watering Hole en sitios web de Medio Oriente también están disponibles en línea en ESET.
Más en ESET.com
Acerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.