वाटरिंग होल मीडिया, सरकारों और रक्षा कंपनियों पर हमले

जांच के फोकस में इजरायली कंपनी कैंडिरू से स्पाईवेयर। ESET मीडिया, सरकार और रक्षा ठेकेदारों पर वाटरिंग होल हमलों को उजागर करता है। निशाने पर कंपनियों की वेबसाइटें हैं।

यूरोपीय आईटी सुरक्षा निर्माता ईएसईटी के शोधकर्ताओं ने मीडिया, सरकारों, इंटरनेट सेवा प्रदाताओं और विमानन और रक्षा कंपनियों की वेबसाइटों पर रणनीतिक हमलों का पर्दाफाश किया है। वर्तमान ज्ञान के अनुसार, मध्य पूर्व के देशों में या वहां कनेक्शन वाले संगठनों पर ध्यान केंद्रित किया जाता है। ईरान, सऊदी अरब, सीरिया, इटली, ग्रेट ब्रिटेन, दक्षिण अफ्रीका और मुख्य रूप से यमन प्रभावित हैं।

जर्मन वेबसाइटों को लक्षित करना

साइबर जासूसों के निशाने पर जर्मनी भी था: हमलावरों ने डसेलडोर्फ स्थित मेडिकल ट्रेड फेयर मेडिका की वेबसाइट को फेक कर दिया। हैकिंग अभियान जासूसी सॉफ़्टवेयर के एक इज़राइली निर्माता कैंडिरू से निकटता से संबंधित हो सकता है। अमेरिकी वाणिज्य विभाग ने सरकारी एजेंसियों को अत्याधुनिक अटैक सॉफ्टवेयर और सेवाएं बेचने के लिए नवंबर 2021 की शुरुआत में कंपनी को ब्लैकलिस्ट कर दिया था। ESET सुरक्षा शोधकर्ताओं ने https://www.welivesecurity.com/deutsch/2021/11/17/watering-hole-attake-im-nahen-osten/ पर तकनीकी विवरण प्रकाशित किए

हमला की गई वेबसाइटों की श्रेणी काफी है

• यूके, यमन और सऊदी अरब में मीडिया और हिजबुल्लाह पर
• ईरान में सरकारी संस्थान (विदेश मंत्रालय), सीरिया में (बिजली मंत्रालय सहित) और यमन में (आंतरिक और वित्त मंत्रालय सहित)
• यमन और सीरिया में इंटरनेट सेवा प्रदाता
• इटली और दक्षिण अफ्रीका में एयरोस्पेस/सैन्य इंजीनियरिंग कंपनियां
• जर्मनी में चिकित्सा व्यापार मेला

वाटरिंग होल हमलों में शीर्ष गोपनीयता

तथाकथित "वाटरिंग होल अटैक्स" का उपयोग किया गया, जो विशेष रूप से एक विशिष्ट उद्योग या कार्य में इंटरनेट उपयोगकर्ताओं पर लक्षित होते हैं। ऐसा करने में, साइबर अपराधी उन वेबसाइटों की पहचान करते हैं जिन पर पीड़ितों द्वारा अक्सर विज़िट की जाती हैं। इसका उद्देश्य वेबसाइट को मैलवेयर और इसके अलावा लक्षित व्यक्ति के कंप्यूटर से संक्रमित करना है। इस खोजे गए अभियान में, कुछ वेबसाइट विज़िटर को संभावित रूप से एक ब्राउज़र शोषण के माध्यम से लक्षित किया गया था। यह अत्यधिक लक्षित तरीके से और शून्य-दिन के कारनामों के न्यूनतम उपयोग के साथ किया गया था। अभिनेता स्पष्ट रूप से अत्यधिक केंद्रित तरीके से काम कर रहे थे और संचालन को सीमित करने की कोशिश कर रहे थे। वे शायद नहीं चाहते थे कि उनके कार्यों को किसी भी तरह से प्रचारित किया जाए। यह समझाने का कोई अन्य तरीका नहीं है कि ईएसईटी एक्सप्लॉइट या पेलोड का पता लगाने में क्यों असमर्थ रहा।

ESET भेद्यता प्रणाली ने 2020 की शुरुआत में अलार्म बजाया

“2018 में, हमने हाई-प्रोफाइल वेबसाइटों पर कमजोरियों को उजागर करने के लिए एक कस्टम आंतरिक प्रणाली का निर्माण किया। 11 जुलाई, 2020 को, हमारे सिस्टम ने बताया कि अबू धाबी में ईरानी दूतावास की वेबसाइट दुर्भावनापूर्ण जावास्क्रिप्ट कोड से संक्रमित थी। सरकारी वेबसाइट होने के कारण हमारी उत्सुकता बढ़ गई थी। उसके बाद के हफ्तों में, हमने देखा कि मध्य पूर्व से जुड़ी अन्य वेबसाइटों पर भी हमला किया जा रहा था," ईएसईटी के शोधकर्ता मैथ्यू फाउ कहते हैं, जिन्होंने वाटरिंग होल अभियानों का खुलासा किया।

2020 के अभियान के दौरान उपयोग किए गए दुर्भावनापूर्ण कोड ने ऑपरेटिंग सिस्टम और उपयोग किए गए वेब ब्राउज़र की जाँच की। केवल स्थिर कंप्यूटर सिस्टम और सर्वर पर हमला किया गया। दूसरी लहर में, हमलावरों ने उन स्क्रिप्ट्स को संशोधित करना शुरू कर दिया जो पहले से ही हैक की गई वेबसाइटों पर थीं। इसने हमलावरों को किसी का ध्यान नहीं जाने दिया। “एक लंबे अंतराल के बाद जो जनवरी 2021 तक चला, हमने नए हमले अभियान देखे। यह दूसरी लहर अगस्त 2021 तक चली,” फाउ कहते हैं।

डसेलडोर्फ में मेडिका पर भी हमला किया गया

हमलावर जर्मनी में भी सक्रिय थे और उन्होंने मेडिका ट्रेड फेयर ("वर्ल्ड फोरम फॉर मेडिसिन") से संबंधित एक वेबसाइट को गलत बताया। उन्होंने मूल वेबसाइट का क्लोन बनाया और जावास्क्रिप्ट कोड का एक छोटा सा टुकड़ा जोड़ा। यह संभावना है कि हमलावर वैध वेबसाइट से समझौता करने में विफल रहे। इसलिए उन्हें दुर्भावनापूर्ण कोड इंजेक्ट करने के लिए एक नकली वेबसाइट स्थापित करने के लिए मजबूर होना पड़ा।

इज़राइली स्पाइवेयर कंपनी कैंडिरू धुंधलके में

इज़राइली कंपनी कैंडिरू के बारे में टोरंटो विश्वविद्यालय में सिटीजन लैब द्वारा एक ब्लॉग पोस्ट "एक सऊदी-लिंक्ड क्लस्टर?" अनुभाग में रिपोर्ट करता है, जो कि वायरसटोटल पर अपलोड किया गया था। हमलावरों द्वारा संचालित कई डोमेन का भी उल्लेख किया गया था। डोमेन नाम वास्तविक URL शॉर्टनर और वेब एनालिटिक्स वेबसाइटों के रूपांतर हैं। "तो यह वही तकनीक है जो वाटरिंग होल हमलों में डोमेन के लिए उपयोग की जाती है," ईएसईटी शोधकर्ता बताते हैं, हमलों को कैंडिरू से जोड़ते हैं।

यह संभावना नहीं मानी जाती है कि वाटरिंग होल अभियान के संचालक कैंडिरू के ग्राहक हो सकते हैं। इज़राइली जासूसी कंपनी को हाल ही में अमेरिकी वाणिज्य विभाग की इकाई सूची में जोड़ा गया था। यह वाणिज्य विभाग से पहले लाइसेंस प्राप्त किए बिना किसी भी यूएस-आधारित संगठन को कैंडिरू के साथ व्यापार करने से रोक सकता है।

वर्तमान स्थिति

ऐसा लगता है कि वाटरिंग होल हमलों के समर्थक विराम लेते दिख रहे हैं। वे समय का उपयोग अपने अभियान को दुरुस्त करने और इसे कम ध्यान देने योग्य बनाने के लिए कर सकते हैं। ईएसईटी सुरक्षा शोधकर्ता आने वाले महीनों में फिर से सक्रिय होने की उम्मीद करते हैं। मध्य पूर्व की वेबसाइटों पर वाटरिंग होल के इन हमलों के बारे में अधिक तकनीकी विवरण भी ईएसईटी पर ऑनलाइन उपलब्ध हैं।

ESET.com पर अधिक

 

---

ईएसईटी के बारे में

ESET एक यूरोपीय कंपनी है जिसका मुख्यालय ब्रातिस्लावा (स्लोवाकिया) में है। 1987 से, ईएसईटी पुरस्कार विजेता सुरक्षा सॉफ्टवेयर विकसित कर रहा है जिसने पहले ही 100 मिलियन से अधिक उपयोगकर्ताओं को सुरक्षित तकनीकों का आनंद लेने में मदद की है। सुरक्षा उत्पादों के व्यापक पोर्टफोलियो में सभी प्रमुख प्लेटफॉर्म शामिल हैं और दुनिया भर में व्यवसायों और उपभोक्ताओं को प्रदर्शन और सक्रिय सुरक्षा के बीच सही संतुलन प्रदान करता है। जेना, सैन डिएगो, सिंगापुर और ब्यूनस आयर्स में 180 से अधिक देशों और कार्यालयों में कंपनी का वैश्विक बिक्री नेटवर्क है। अधिक जानकारी के लिए www.eset.de पर जाएं या हमें LinkedIn, Facebook और Twitter पर फ़ॉलो करें।

---

 

विषय से संबंधित लेख