Un logiciel espion de la société israélienne Candiru au centre des enquêtes. ESET expose les attaques de point d'eau contre les médias, le gouvernement et les sous-traitants de la défense. Les cibles sont les sites Web des entreprises.
Les chercheurs du fabricant européen de sécurité informatique ESET ont découvert des attaques stratégiques sur les sites Web des médias, des gouvernements, des fournisseurs de services Internet et des entreprises de l'aviation et de la défense. Selon les connaissances actuelles, l'accent est mis sur les organisations dans les pays du Moyen-Orient ou avec des connexions là-bas. L'Iran, l'Arabie saoudite, la Syrie, l'Italie, la Grande-Bretagne, l'Afrique du Sud et principalement le Yémen sont touchés.
Ciblage des sites Web allemands
L'Allemagne a également été ciblée par les cyber-espions : les attaquants ont truqué le site Web du salon médical Medica, basé à Düsseldorf. La campagne de piratage pourrait être étroitement liée à Candiru, un fabricant israélien de logiciels espions. Le département américain du Commerce a mis l'entreprise sur liste noire début novembre 2021 pour avoir vendu des logiciels et des services d'attaque de pointe à des agences gouvernementales. Les chercheurs en sécurité d'ESET ont publié des détails techniques sur https://www.welivesecurity.com/deutsch/2021/11/17/watering-hole-attacke-im-nahen-osten/
L'éventail des sites Web attaqués est considérable
- Médias au Royaume-Uni, au Yémen et en Arabie saoudite et sur le Hezbollah
- Institutions gouvernementales en Iran (ministère des Affaires étrangères), en Syrie (y compris le ministère de l'Électricité) et au Yémen (y compris le ministère de l'Intérieur et des Finances)
- Fournisseurs d'accès Internet au Yémen et en Syrie
- Entreprises d'ingénierie aérospatiale/militaire en Italie et en Afrique du Sud
- Salon médical en Allemagne
Top secret dans les attaques de point d'eau
Des attaques dites "point d'eau" ont été utilisées, qui visent très spécifiquement les internautes dans une industrie ou une fonction spécifique. Ce faisant, les cybercriminels identifient les sites Web fréquemment visités par les victimes. L'objectif est d'infecter le site Web avec des logiciels malveillants et, en outre, l'ordinateur de la personne cible. Dans cette campagne détectée, certains visiteurs du site Web ont probablement été ciblés via un exploit de navigateur. Cela a été fait de manière très ciblée et avec une utilisation minimale d'exploits zero-day. Les acteurs travaillaient évidemment de manière très concentrée et essayaient de limiter les opérations. Ils ne voulaient probablement pas que leurs actions soient rendues publiques de quelque manière que ce soit. Il n'y a pas d'autre moyen d'expliquer pourquoi ESET n'a pas pu découvrir les exploits ou les charges utiles.
Le système de vulnérabilité d'ESET a tiré la sonnette d'alarme dès 2020
"En 2018, nous avons construit un système interne personnalisé pour découvrir les vulnérabilités sur les sites Web de haut niveau. Le 11 juillet 2020, notre système a signalé que le site Web de l'ambassade d'Iran à Abu Dhabi était infecté par un code JavaScript malveillant. Notre curiosité a été piquée car il s'agissait d'un site Web gouvernemental. Dans les semaines qui ont suivi, nous avons remarqué que d'autres sites Web ayant des liens avec le Moyen-Orient étaient également attaqués », explique Matthieu Faou, chercheur chez ESET, qui a découvert les campagnes Watering Hole.
Lors de la campagne 2020, le code malveillant utilisé vérifiait le système d'exploitation et le navigateur Web utilisés. Seuls les systèmes informatiques fixes et les serveurs ont été attaqués. Lors de la deuxième vague, les attaquants ont commencé à modifier des scripts qui se trouvaient déjà sur les sites Web compromis. Cela a permis aux attaquants d'agir sans se faire remarquer. "Après une interruption prolongée qui a duré jusqu'en janvier 2021, nous avons vu de nouvelles campagnes d'attaques. Cette deuxième vague a duré jusqu'en août 2021 », ajoute Faou.
MEDICA à Düsseldorf a également été attaqué
Les agresseurs étaient également actifs en Allemagne et ont falsifié un site Internet du salon MEDICA (« Forum mondial de la médecine »). Ils ont cloné le site Web d'origine et ajouté un petit morceau de code JavaScript. Il est probable que les attaquants n'aient pas réussi à compromettre le site Web légitime. Ils ont donc été contraints de créer un faux site Web pour injecter le code malveillant.
La société israélienne de logiciels espions Candiru au crépuscule
Un article de blog de Citizen Lab de l'Université de Toronto à propos de la société israélienne Candiru rapporte dans la section "A Saudi-Linked Cluster?" un document de harponnage qui a été téléchargé sur VirusTotal. Plusieurs domaines exploités par les attaquants ont également été mentionnés. Les noms de domaine sont des variantes de véritables raccourcisseurs d'URL et de sites Web d'analyse Web. "C'est donc la même technique utilisée pour les domaines dans les attaques de point d'eau", explique le chercheur d'ESET, liant les attaques à Candiru.
Il n'est pas improbable que les opérateurs des campagnes d'abreuvoirs puissent être des clients de Candiru. La société d'espionnage israélienne a récemment été ajoutée à la liste des entités du Département américain du commerce. Cela peut empêcher toute organisation basée aux États-Unis de faire des affaires avec Candiru sans avoir obtenu au préalable une licence du Département du commerce.
Statut actuel
Les commanditaires des attaques du point d'eau semblent faire une pause. Ils peuvent utiliser le temps pour réorganiser leur campagne et la rendre moins visible. Les chercheurs en sécurité d'ESET s'attendent à redevenir actifs dans les mois à venir. Plus de détails techniques sur ces attaques Watering Hole sur les sites Web du Moyen-Orient sont également disponibles en ligne sur ESET.
Plus sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.