Spyware dell'azienda israeliana Candiru al centro delle indagini. ESET espone attacchi watering hole a media, governo e appaltatori della difesa. Gli obiettivi sono i siti web delle aziende.
I ricercatori del produttore europeo di sicurezza informatica ESET hanno scoperto attacchi strategici ai siti Web dei media, dei governi, dei fornitori di servizi Internet e delle società di aviazione e difesa. Secondo le conoscenze attuali, l'attenzione si concentra sulle organizzazioni nei paesi del Medio Oriente o con collegamenti lì. Sono colpiti Iran, Arabia Saudita, Siria, Italia, Gran Bretagna, Sud Africa e soprattutto Yemen.
Targeting per siti Web tedeschi
Anche la Germania è stata presa di mira dalle spie informatiche: gli aggressori hanno falsificato il sito web della fiera medica Medica di Düsseldorf. La campagna di hacking potrebbe essere strettamente correlata a Candiru, un produttore israeliano di software spia. Il Dipartimento del Commercio degli Stati Uniti ha inserito la società nella lista nera all'inizio di novembre 2021 per aver venduto software e servizi di attacco all'avanguardia ad agenzie governative. I ricercatori di sicurezza ESET hanno pubblicato dettagli tecnici su https://www.welivesecurity.com/deutsch/2021/11/17/watering-hole-attacke-im-nahen-osten/
La gamma di siti Web attaccati è considerevole
- Media nel Regno Unito, Yemen e Arabia Saudita e su Hezbollah
- Istituzioni governative in Iran (Ministero degli Affari Esteri), in Siria (compreso il Ministero dell'Elettricità) e nello Yemen (compreso il Ministero dell'Interno e delle Finanze)
- Fornitori di servizi Internet in Yemen e Siria
- Società di ingegneria aerospaziale/militare in Italia e Sud Africa
- Fiera medica in Germania
Massima segretezza negli attacchi agli abbeveratoi
Sono stati utilizzati i cosiddetti "attacchi watering hole", che sono rivolti in modo molto specifico agli utenti di Internet in un settore o funzione specifica. In tal modo, i criminali informatici identificano quei siti Web che sono frequentemente visitati dalle vittime. L'obiettivo è infettare il sito Web con malware e, inoltre, il computer della persona bersaglio. In questa campagna rilevata, alcuni visitatori del sito Web sono stati probabilmente presi di mira tramite un exploit del browser. Ciò è stato fatto in modo altamente mirato e con un uso minimo di exploit zero-day. Gli attori stavano ovviamente lavorando in modo molto concentrato e cercando di limitare le operazioni. Probabilmente non volevano che le loro azioni fossero pubblicizzate in alcun modo. Non c'è altro modo per spiegare perché ESET non è stata in grado di scoprire exploit o payload.
Il sistema di vulnerabilità ESET ha lanciato l'allarme già nel 2020
“Nel 2018, abbiamo creato un sistema interno personalizzato per scoprire le vulnerabilità sui siti Web di alto profilo. L'11 luglio 2020, il nostro sistema ha segnalato che il sito Web dell'ambasciata iraniana ad Abu Dhabi è stato infettato da codice JavaScript dannoso. La nostra curiosità è stata stuzzicata perché si trattava di un sito web del governo. Nelle settimane successive, abbiamo notato che anche altri siti Web con collegamenti con il Medio Oriente venivano attaccati", afferma il ricercatore ESET Matthieu Faou, che ha scoperto le campagne Watering Hole.
Durante la campagna del 2020, il codice dannoso utilizzato ha verificato il sistema operativo e il browser Web utilizzato. Sono stati attaccati solo sistemi informatici e server fissi. Nella seconda ondata, gli aggressori hanno iniziato a modificare gli script già presenti sui siti Web compromessi. Ciò ha permesso agli aggressori di agire inosservati. “Dopo una pausa prolungata durata fino al gennaio 2021, abbiamo assistito a nuove campagne di attacco. Questa seconda ondata è durata fino all'agosto 2021", aggiunge Faou.
Anche MEDICA a Düsseldorf è stata attaccata
Gli aggressori erano attivi anche in Germania e hanno falsificato un sito web appartenente alla fiera MEDICA ("Forum mondiale per la medicina"). Hanno clonato il sito Web originale e aggiunto un piccolo pezzo di codice JavaScript. È probabile che gli aggressori non siano riusciti a compromettere il sito Web legittimo. Quindi sono stati costretti a creare un sito Web falso per iniettare il codice dannoso.
La società israeliana di spyware Candiru nel crepuscolo
Un post sul blog di Citizen Lab dell'Università di Toronto sulla società israeliana Candiru riporta nella sezione "A Saudi-Linked Cluster?" un documento di spearphishing che è stato caricato su VirusTotal. Sono stati menzionati anche diversi domini gestiti dagli aggressori. I nomi di dominio sono variazioni di accorciatori di URL reali e siti Web di analisi web. "Quindi è la stessa tecnica utilizzata per i domini negli attacchi abbeveratoio", spiega il ricercatore ESET, collegando gli attacchi a Candiru.
Non si ritiene improbabile che gli operatori delle campagne di abbeveratoi possano essere clienti di Candiru. La compagnia di spionaggio israeliana è stata recentemente aggiunta alla lista delle entità del Dipartimento del commercio degli Stati Uniti. Ciò potrebbe impedire a qualsiasi organizzazione con sede negli Stati Uniti di fare affari con Candiru senza prima ottenere una licenza dal Dipartimento del Commercio.
Stato attuale
I sostenitori degli attacchi agli abbeveratoi sembrano prendersi una pausa. Potrebbero usare il tempo per riorganizzare la loro campagna e renderla meno evidente. I ricercatori di sicurezza ESET prevedono di tornare attivi nei prossimi mesi. Ulteriori dettagli tecnici su questi attacchi Watering Hole sui siti Web del Medio Oriente sono disponibili anche online su ESET.
Altro su ESET.com
Informazioni su ESET ESET è una società europea con sede a Bratislava (Slovacchia). Dal 1987, ESET sviluppa software di sicurezza pluripremiati che hanno già aiutato oltre 100 milioni di utenti a usufruire di tecnologie sicure. L'ampio portafoglio di prodotti per la sicurezza copre tutte le principali piattaforme e offre alle aziende e ai consumatori di tutto il mondo il perfetto equilibrio tra prestazioni e protezione proattiva. L'azienda ha una rete di vendita globale in oltre 180 paesi e uffici a Jena, San Diego, Singapore e Buenos Aires. Per maggiori informazioni visita www.eset.de o seguici su LinkedIn, Facebook e Twitter.