- ESET odhalil kampaň cielenú na kompromitovanie webových stránok médií, vlád, poskytovateľov internetových služieb či leteckých a vojenských technologických spoločností s väzbami na Blízky východ, predovšetkým na Jemen a okolitý konflikt.
- Ciele útokov sa nachádzali v Iráne, Saudskej Arábii, Sýrii, Jemene, v Taliansku, Spojenom kráľovstve a v Juhoafrickej republike. Útočníci dokonca napodobnili stránku imitujúcu medicínsky veľtrh v Nemecku.
- Kampaň má silné prepojenia na izraelskú spyvérovú spoločnosť Candiru, ktorá sa zameriava na predaj najmodernejších útočných softvérov a služieb vládnym agentúram. Americké ministerstvo obchodu firmu nedávno zaradilo na zakázaný zoznam.
Výskumníci spoločnosti ESET odhalili kompromitovanie strategických webov, tzv. „watering hole“ útoky, zamerané na významné web stránky na Blízkom východe so silnými väzbami na Jemen. Útoky majú prepojenie na spoločnosť Candiru, ktorá predáva najmodernejšie útočné softvéry a služby vládnym inštitúciám. Zasiahnuté stránky patria médiám v Spojenom kráľovstve, Jemene, Saudskej Arábii a taktiež hnutiu Hizballáh. Medzi ďalšími obeťami sú vládne inštitúcie v Iráne (Ministerstvo zahraničných vecí), Sýrii (vrátane Ministerstva energetiky), Jemene (Ministerstvá vnútra a financií) či poskytovatelia internetových služieb v Jemene a Sýrii. Zasiahnuté boli tiež letecké a vojenské technologické spoločnosti v Taliansku a Juhoafrickej republike. Útočníci dokonca vytvorili stránku imitujúcu nemecký medicínsky veľtrh.
„Watering hole“ útoky kompromitujú webové stránky, ktoré pravdepodobne navštívia objekty záujmu kybernetických útočníkov, čím sa otvoria dvere k infikovaniu ich zaradení. Názov aj podstata útoku je odvodená od lovu. Namiesto toho aby lovec prenasledoval svoju obeť, počká ju na mieste, kde pravdepodobne príde sama. Zvyčajne je to vodný zdroj alebo napájadlo (z angličtiny watering hole), ku ktorému obeť skôr či neskôr príde a útočník následne zaútočí.
V rámci tejto kampane boli návštevníci stránok pravdepodobne napadnutí prostredníctvom zraniteľnosti prehliadača. Výskumníkom spoločnosti ESET sa však nepodarilo odhaliť konkrétnu zraniteľnosť ani payload. Ukazuje to, že sa útočníci rozhodli zúžiť zameranie svojich operácií a nechceli riskovať odhalenie svojich zero-day hrozieb. Dokazuje to tiež, ako veľmi zacielená táto kampaň bola. Kompromitované stránky slúžili len ako odrazové mostíky k zasiahnutiu konečných cieľov.
„V roku 2018 sme vyvinuli vlastný systém na odhaľovanie takýchto napájadiel (z ang. watering holes) na významných webových stránkach. Systém nás 11. júla 2020 upozornil, že webová stránka iránskej ambasády v Abú Dhabí bola infikovaná škodlivým JavaScript kódom. Dôležitosť stránky vzbudila náš záujem a v nasledujúcich týždňoch sme pozorovali ďalšie stránky s väzbami na Blízky východ, ktoré sa stali cieľom kompromitovania,“ hovorí výskumník spoločnosti ESET Matthieu Faou, ktorý útoky odhalil.
„Útočníci sa odmlčali až do januára 2021, kedy sme zaznamenali novú vlnu kompromitovania stránok. Druhá vlna trvala do augusta 2021, následne boli všetky webové stránky opäť vyčistené, rovnako ako v roku 2020. Škodlivý kód odstránili pravdepodobne samotní páchatelia,“ dodáva Faou.
„Útočníci taktiež napodobnili webovú stránku patriacu medicínskemu veľtrhu World Forum for Medicine’s MEDICA, ktorý sa konal v nemeckom Düsseldorfe. Naklonovali originálnu stránku a pridali na ňu malý kúsok JavaScript kódu. Pravdepodobne sa im nepodarilo skompromitovať legitímnu stránku a preto vytvorili falošnú,“ vysvetľuje Faou.
Počas kampane v roku 2020 kontroloval malvér operačný systém a webový prehliadač. Keďže bol výber založený na počítačovom softvéri, kampaň necielila na mobilné zariadenia. Aby boli útočníci počas druhej vlny ešte nenápadnejší, začali pozmeňovať skripty, ktoré sa už nachádzali na skompromitovaných stránkach.
„V blogu o firme Candiru, ktorý publikoval Citizen Lab fungujúci pri Torontskej univerzite, sa v sekcii s názvom „A Saudi-Linked Cluster?“ spomína spearphishingový dokument, ktorý bol uploadnutý na stránku VirusTotal a viacero domén prevádzkovaných útočníkmi. Názvy týchto domén sú variáciami legitímnych skracovačov URL adries a stránok na analýzu webu. Ide teda o rovnakú techniku ako pri doménach, ktoré sme videli pri watering hole útokoch,“ vysvetľuje Faou prepojenia na firmu Candiru.
Je preto veľmi pravdepodobné, že útočníci za watering hole kampaňami sú zákazníkmi spoločnosti Candiru. Je taktiež možné, že tvorcovia dokumentov a samotní útočníci využívajúci watering hole útoky sú tí istí. Candiru je súkromná izraelská spoločnosť vyvíjajúca špehovací softvér, tzv. spyvér, ktorá bola nedávno zaradená Americkým ministerstvom obchodu na čiernu listinu zakázaných firiem. Zaradenie do tohto zoznamu bráni americkým firmám obchodovať so spoločnosťou Candiru bez súhlasu ministerstva.
Naposledy zaznamenal ESET aktivitu v rámci tejto operácie na konci júla 2021 – krátko po tom, čo Citizen Lab, Google a Microsoft zverejnili články popisujúce praktiky spoločnosti Candiru. Vyzerá to tak, že sa útočníci stiahli do ústrania, aby upravili svoju kampaň a spravili ju ešte skrytejšou. Výskumníci spoločnosti ESET predpokladajú, že sa vrátia v nasledujúcich mesiacoch.
Viac technických informácií o útokoch na Blízkom východe nájdete v našom špeciálnom blogu.
O spoločnosti ESET
Už viac ako 30 rokov vyvíja spoločnosť ESET popredný softvér a služby zamerané na IT bezpečnosť a ochranu podnikov, kritickej infraštruktúry a domácností z celého sveta pred čoraz sofistikovanejšími digitálnymi hrozbami. V rámci širokej škály riešení určených pre koncové a mobilné zariadenia až po šifrovanie a dvojúrovňové overovanie prináša ESET svojim zákazníkom vysokovýkonné a zároveň jednoducho použiteľné produkty, ktoré chránia bez zbytočného rušenia 24 hodín denne, pričom ochranné mechanizmy sa aktualizujú v reálnom čase, aby boli používatelia vždy v bezpečí a firemná prevádzka mohla fungovať bez prerušení. Keďže hrozby sa neustále vyvíjajú, na svojom vývoji musí pracovať aj IT bezpečnostná spoločnosť, ktorá chce napomáhať k bezpečnému používaniu technológií. Na tomto cieli a podpore lepšej spoločnej budúcnosti pracuje spoločnosť ESET prostredníctvom svojich centier výskumu a vývoja v rôznych kútoch sveta. Viac informácií nájdete na stránke www.eset.sk, prípadne nás môžete sledovať na sociálnych sieťach LinkedIn, Facebook a Twitter.