Watering Hole Attacks na mídia, governos e empresas de defesa

20. Novembro 2021
| Sem comentários
Watering Hole Attacks na mídia, governos e empresas de defesa

Compartilhar postagem

Spyware da empresa israelense Candiru no foco das investigações. A ESET expõe ataques de watering hole na mídia, governo e empreiteiros de defesa. Os alvos são os sites das empresas.

Os pesquisadores do fabricante europeu de segurança de TI ESET descobriram ataques estratégicos nos sites da mídia, governos, provedores de serviços de Internet e empresas de aviação e defesa. De acordo com o conhecimento atual, o foco são organizações em países do Oriente Médio ou com conexões lá. Irã, Arábia Saudita, Síria, Itália, Grã-Bretanha, África do Sul e principalmente o Iêmen são afetados.

Segmentação de sites alemães

A Alemanha também foi alvo dos espiões cibernéticos: os atacantes falsificaram o site da feira médica Medica, com sede em Düsseldorf. A campanha de hackers pode estar intimamente relacionada à Candiru, uma fabricante israelense de software espião. O Departamento de Comércio dos EUA colocou a empresa na lista negra no início de novembro de 2021 por vender software e serviços de ataque de ponta a agências governamentais. Os pesquisadores de segurança da ESET publicaram detalhes técnicos em https://www.welivesecurity.com/deutsch/2021/11/17/watering-hole-attacke-im-nahen-osten/

A gama de sites atacados é considerável

  • Mídia no Reino Unido, Iêmen e Arábia Saudita e sobre o Hezbollah
  • Instituições governamentais no Irã (Ministério das Relações Exteriores), na Síria (incluindo o Ministério da Eletricidade) e no Iêmen (incluindo o Ministério do Interior e Finanças)
  • Provedores de Internet no Iêmen e na Síria
  • Empresas de engenharia aeroespacial/militar na Itália e na África do Sul
  • Feira médica na Alemanha

Sigilo máximo em ataques a bebedouros

Foram usados ​​os chamados "ataques watering hole", que visam muito especificamente os usuários da Internet em uma indústria ou função específica. Ao fazer isso, os criminosos cibernéticos identificam os sites que são frequentemente visitados pelas vítimas. O objetivo é infectar o site com malware e, além disso, o computador da pessoa alvo. Nesta campanha detectada, alguns visitantes do site provavelmente foram alvo de uma exploração do navegador. Isso foi feito de maneira altamente direcionada e com uso mínimo de explorações de dia zero. Os atores estavam obviamente trabalhando de maneira altamente focada e tentando limitar as operações. Eles provavelmente não queriam que suas ações fossem divulgadas de forma alguma. Não há outra maneira de explicar por que a ESET não conseguiu descobrir exploits ou payloads.

O sistema de vulnerabilidade da ESET soou o alarme já em 2020

“Em 2018, construímos um sistema interno personalizado para descobrir vulnerabilidades em sites de alto perfil. Em 11 de julho de 2020, nosso sistema informou que o site da embaixada iraniana em Abu Dhabi foi infectado com código JavaScript malicioso. Nossa curiosidade foi despertada, pois era um site do governo. Nas semanas que se seguiram, percebemos que outros sites com conexões com o Oriente Médio também estavam sendo atacados”, diz o pesquisador da ESET Matthieu Faou, que descobriu as campanhas Watering Hole.

Durante a campanha de 2020, o código malicioso utilizado verificou o sistema operacional e o navegador da web utilizado. Apenas sistemas de computador estacionários e servidores foram atacados. Na segunda onda, os invasores começaram a modificar scripts que já estavam nos sites comprometidos. Isso permitiu que os invasores agissem despercebidos. “Depois de um hiato prolongado que durou até janeiro de 2021, vimos novas campanhas de ataque. Essa segunda onda durou até agosto de 2021”, acrescenta Faou.

MEDICA em Düsseldorf também foi atacado

Os atacantes também estavam ativos na Alemanha e falsificaram um site pertencente à feira MEDICA (“Fórum Mundial de Medicina”). Eles clonaram o site original e adicionaram um pequeno pedaço de código JavaScript. É provável que os invasores não tenham comprometido o site legítimo. Então, eles foram forçados a criar um site falso para injetar o código malicioso.

Empresa de spyware israelense Candiru no crepúsculo

Uma postagem no blog do Citizen Lab da Universidade de Toronto sobre a empresa israelense Candiru relata na seção “A Saudi-Linked Cluster?” um documento de spearphishing que foi carregado no VirusTotal. Também foram mencionados vários domínios operados pelos invasores. Os nomes de domínio são variações de encurtadores de URL reais e sites de análise da web. "Portanto, é a mesma técnica usada para os domínios nos ataques watering hole", explica o pesquisador da ESET, vinculando os ataques a Candiru.

Não é considerado improvável que os operadores das campanhas de bebedouros possam ser clientes da Candiru. A empresa de espionagem israelense foi recentemente adicionada à Lista de Entidades do Departamento de Comércio dos EUA. Isso pode impedir que qualquer organização sediada nos Estados Unidos faça negócios com a Candiru sem primeiro obter uma licença do Departamento de Comércio.

Status atual

Os defensores dos ataques do bebedouro parecem estar fazendo uma pausa. Eles podem usar o tempo para reequipar sua campanha e torná-la menos visível. Os pesquisadores de segurança da ESET esperam se tornar ativos novamente nos próximos meses. Mais detalhes técnicos sobre esses ataques Watering Hole em sites do Oriente Médio também estão disponíveis online na ESET.

Mais em ESET.com

 

Sobre ESET

A ESET é uma empresa europeia com sede em Bratislava (Eslováquia). Desde 1987, a ESET vem desenvolvendo software de segurança premiado que já ajudou mais de 100 milhões de usuários a desfrutar de tecnologias seguras. O amplo portfólio de produtos de segurança abrange todas as principais plataformas e oferece a empresas e consumidores em todo o mundo o equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas em mais de 180 países e escritórios em Jena, San Diego, Cingapura e Buenos Aires. Para mais informações, visite www.eset.de ou siga-nos no LinkedIn, Facebook e Twitter.

 

Artigos relacionados ao tema

Plataforma de cibersegurança com proteção para ambientes 5G

A especialista em segurança cibernética Trend Micro revela sua abordagem baseada em plataforma para proteger a superfície de ataque em constante expansão das organizações, incluindo segurança ➡ Leia mais

Manipulação de dados, o perigo subestimado

Todos os anos, o Dia Mundial do Backup, em 31 de março, serve como um lembrete da importância de backups atualizados e de fácil acesso. ➡ Leia mais

Impressoras como um risco à segurança

As frotas de impressoras empresariais estão a tornar-se cada vez mais num ponto cego e representam enormes problemas para a sua eficiência e segurança. ➡ Leia mais

A Lei AI e suas consequências para a proteção de dados

Com o AI Act, a primeira lei para IA foi aprovada e dá aos fabricantes de aplicações de IA entre seis meses e ➡ Leia mais

Sistemas operacionais Windows: Quase dois milhões de computadores em risco

Não há mais atualizações para os sistemas operacionais Windows 7 e 8. Isto significa lacunas de segurança abertas e, portanto, valiosas e ➡ Leia mais

AI no Enterprise Storage combate ransomware em tempo real

A NetApp é uma das primeiras a integrar inteligência artificial (IA) e aprendizado de máquina (ML) diretamente no armazenamento primário para combater ransomware ➡ Leia mais

Conjunto de produtos DSPM para Zero Trust Data Security

O gerenciamento da postura de segurança de dados – abreviadamente DSPM – é crucial para que as empresas garantam a resiliência cibernética contra a multidão ➡ Leia mais

Criptografia de dados: Mais segurança em plataformas em nuvem

As plataformas online são frequentemente alvo de ataques cibernéticos, como o Trello recentemente. 5 dicas para garantir criptografia de dados mais eficaz na nuvem ➡ Leia mais

ESET, mensagens de relações públicas
, , , ,