Шпигунське ПЗ ізраїльської компанії Candiru в центрі уваги розслідувань. ESET викриває атаки на засоби масової інформації, державні та оборонні підрядники. Цілями є веб-сайти компаній.
Дослідники європейського виробника IT-безпеки ESET виявили стратегічні атаки на веб-сайти ЗМІ, урядів, інтернет-провайдерів та авіаційних і оборонних компаній. Відповідно до поточних відомостей, у центрі уваги знаходяться організації в країнах Близького Сходу або з зв’язками там. Постраждали Іран, Саудівська Аравія, Сирія, Італія, Велика Британія, ПАР і в першу чергу Ємен.
Орієнтація на німецькі веб-сайти
Мішенню кібершпигунів стала і Німеччина: зловмисники підробили веб-сайт дюссельдорфської медичної ярмарки Medica. Хакерська кампанія може бути тісно пов'язана з Candiru, ізраїльським виробником шпигунського програмного забезпечення. Міністерство торгівлі США внесло компанію в чорний список на початку листопада 2021 року за продаж передового програмного забезпечення та послуг для атак державним установам. Дослідники безпеки ESET опублікували технічні деталі на сторінці https://www.welivesecurity.com/deutsch/2021/11/17/watering-hole-attacke-im-nahen-osten/
Спектр атакованих сайтів значний
- ЗМІ у Великій Британії, Ємені та Саудівській Аравії та про Хезболлу
- Державні установи в Ірані (Міністерство закордонних справ), Сирії (включаючи Міністерство електроенергетики) та в Ємені (включаючи Міністерство внутрішніх справ і фінансів)
- Інтернет-провайдери в Ємені та Сирії
- Аерокосмічні/військові інженерні компанії в Італії та Південній Африці
- Медична виставка в Німеччині
Найвищий рівень секретності в атаках на водойми
Використовувалися так звані «атаки на водопою», які спрямовані дуже конкретно на користувачів Інтернету в певній галузі чи функції. При цьому кіберзлочинці ідентифікують веб-сайти, які часто відвідують жертви. Мета — заразити веб-сайт шкідливим програмним забезпеченням і, крім того, комп’ютер цільової особи. У цій виявленій кампанії певні відвідувачі веб-сайту, ймовірно, були націлені через експлойт браузера. Це було зроблено дуже цілеспрямовано та з мінімальним використанням експлойтів нульового дня. Очевидно, що актори працювали дуже зосереджено і намагалися обмежити операції. Ймовірно, вони не хотіли, щоб їхні дії набули розголосу. Немає іншого способу пояснити, чому ESET не вдалося виявити ні експлойти, ні корисні навантаження.
Уразливість системи ESET забила тривогу ще в 2020 році
«У 2018 році ми створили спеціальну внутрішню систему для виявлення вразливостей на відомих веб-сайтах. 11 липня 2020 року наша система повідомила, що веб-сайт посольства Ірану в Абу-Дабі був заражений шкідливим кодом JavaScript. Наша цікавість була викликана, оскільки це був урядовий веб-сайт. У наступні тижні ми помітили, що інші веб-сайти, пов’язані з Близьким Сходом, також піддавалися атакам», — каже дослідник ESET Метьє Фау, який розкрив кампанії Watering Hole.
Під час кампанії 2020 року використаний шкідливий код перевіряв операційну систему та використовуваний веб-браузер. Атак піддавалися лише стаціонарні комп’ютерні системи та сервери. Під час другої хвилі зловмисники почали модифікувати скрипти, які вже були на скомпрометованих веб-сайтах. Це дозволило зловмисникам діяти непоміченими. «Після тривалої перерви, яка тривала до січня 2021 року, ми побачили нові атаки. Ця друга хвиля тривала до серпня 2021 року», — додає Фау.
MEDICA в Дюссельдорфі також зазнала нападу
Зловмисники також діяли в Німеччині та фальсифікували веб-сайт виставки MEDICA («Всесвітній форум медицини»). Вони клонували оригінальний веб-сайт і додали невеликий фрагмент коду JavaScript. Ймовірно, зловмисникам не вдалося скомпрометувати законний сайт. Тож вони були змушені створити фальшивий веб-сайт для впровадження шкідливого коду.
Ізраїльська шпигунська компанія Candiru в сутінках
Повідомлення в блозі Citizen Lab при Університеті Торонто про ізраїльську компанію Candiru повідомляє в розділі «Кластер, пов’язаний із Саудівською Аравією?» документ, який було завантажено на VirusTotal. Також було згадано кілька доменів, якими керують зловмисники. Доменні імена є варіаціями реальних скорочувальних URL-адрес і веб-сайтів веб-аналітики. «Тож це та сама техніка, яка використовується для доменів під час атак водопою», — пояснює дослідник ESET, пов’язуючи атаки з Candiru.
Вважається малоймовірним, що оператори водопійних кампаній могли бути клієнтами Candiru. Ізраїльська шпигунська компанія нещодавно була додана до списку організацій Міністерства торгівлі США. Це може перешкодити будь-якій американській організації вести бізнес із Candiru без попереднього отримання ліцензії від Міністерства торгівлі.
Поточний стан
Прихильники атак на водопій, здається, беруть перерву. Вони можуть використати час, щоб переоснастити свою кампанію та зробити її менш помітною. Дослідники безпеки ESET планують знову активізуватися найближчими місяцями. Додаткові технічні відомості про атаки Watering Hole на веб-сайти Близького Сходу також доступні онлайн на ESET.
Більше на ESET.com
Про ESET ESET – європейська компанія зі штаб-квартирою в Братиславі (Словаччина). З 1987 року ESET розробляє відзначене нагородами програмне забезпечення безпеки, яке вже допомогло понад 100 мільйонам користувачів користуватися безпечними технологіями. Широке портфоліо продуктів безпеки охоплює всі основні платформи та пропонує компаніям і споживачам у всьому світі ідеальний баланс між продуктивністю та проактивним захистом. Компанія має глобальну мережу продажів у понад 180 країнах і офіси в Єні, Сан-Дієго, Сінгапурі та Буенос-Айресі. Для отримання додаткової інформації відвідайте www.eset.de або слідкуйте за нами в LinkedIn, Facebook і Twitter.