Skip to main content
Hermes Banner 1
DIGITALTV 195
ilka aggelia
securityreport e mag odhgos 2021
18 Νοεμβρίου 2021 10:51

Οι ερευνητές της ESET ανακαλύπτουν επιθέσεις τύπου watering hole

admin ajax.php?action=kernel&p=image&src=%7B%22file%22%3A%22wp content%2Fuploads%2F2022%2F05%2F10deb98ba1ed4460604f7602fcffe76a XL

Οι ερευνητές της παγκόσμιας εταιρείας κυβερνοασφάλειας ESET ανακάλυψαν επιθέσεις τύπου «watering hole», δηλαδή εκστρατείες στρατηγικών παραβιάσεων ιστότοπων. Η συγκεκριμένη επίθεση είχε στόχο κυβερνητικούς ιστότοπους, online σελίδες μέσων ενημέρωσης, καθώς και ιστότοπους παρόχων υπηρεσιών διαδικτύου και εταιρειών αεροδιαστημικής/στρατιωτικής τεχνολογίας.

Οι ερευνητές της παγκόσμιας εταιρείας κυβερνοασφάλειας ESET ανακάλυψαν επιθέσεις τύπου «watering hole», δηλαδή εκστρατείες στρατηγικών παραβιάσεων ιστότοπων. Η συγκεκριμένη επίθεση είχε στόχο κυβερνητικούς ιστότοπους, online σελίδες μέσων ενημέρωσης, καθώς και ιστότοπους παρόχων υπηρεσιών διαδικτύου και εταιρειών αεροδιαστημικής/στρατιωτικής τεχνολογίας.

Wateringhole, δηλαδή «νερόλακκος», είναι η ορολογία που χρησιμοποιείται στην κυβερνοασφάλεια για να περιγράψει μια στοχευμένη στρατηγική επίθεση κατά την οποία οι κυβερνοεγκληματίες μολύνουν έναν ιστότοπο που πιστεύουν ότι αποτελεί ένα γόνιμο περιβάλλον με πιθανά θύματα. Στη συνέχεια περιμένουν να μπει το κακόβουλο λογισμικό στους υπολογιστές των θυμάτων που επισκέφτηκαν το συγκεκριμένο ιστότοπο.  Ουσιαστικά η λέξη «νερόλακκος» παραπέμπει στο σημείο όπου πηγαίνουν τα ζώα να πιούν νερό, γεγονός που τα κάνει ευάλωτα στα αρπακτικά.

Τα website που έπεσαν θύματα της συγκεκριμένης εκστρατείας ανήκουν σε μέσα ενημέρωσης στο Ηνωμένο Βασίλειο, την Υεμένη και τη Σαουδική Αραβία, καθώς και στη Χεζμπολάχ, σε κυβερνητικούς φορείς στο Ιράν (Υπουργείο Εξωτερικών), τη Συρία (μεταξύ των οποίων και η ιστοσελίδα του Υπουργείου Ενέργειας) και την Υεμένη (συμπεριλαμβανομένων των Υπουργείων Εσωτερικών και Οικονομικών), σε παρόχους υπηρεσιών Internet στην Υεμένη και τη Συρία και σε εταιρείες αεροδιαστημικής/στρατιωτικής τεχνολογίας στην Ιταλία και τη Νότια Αφρική.

Παράλληλα, οι κυβερνοεγκληματίες κλωνοποίησαν έναν ιστότοπο ιατρικής εμπορικής έκθεσης στη Γερμανία. Το website ανήκε στην εμπορική έκθεση MEDICA του Παγκόσμιου Φόρουμ Ιατρικής που πραγματοποιήθηκε στο Ντίσελντορφ της Γερμανίας.

Η εκστρατεία φαίνεται να έχει ισχυρούς δεσμούς με την Candiru, μια ισραηλινή εταιρεία κατασκοπείας που συμπεριλήφθηκε πρόσφατα στη μαύρη λίστα του Υπουργείου Εμπορίου των ΗΠΑ, και η οποία πουλάει υπερσύγχρονα εργαλεία λογισμικού επιθετικού χαρακτήρα και σχετικές υπηρεσίες σε κυβερνητικούς φορείς.

“Το 2018, αναπτύξαμε στην ESET ένα προσαρμοσμένο σύστημα για να εντοπίζουμε watering holes σε ιστοσελίδες υψηλού προφίλ» λέει ο ερευνητής της ESET Matthieu Faou, ο οποίος αποκάλυψε τις καμπάνιες watering hole. «Στις 11 Ιουλίου 2020, το σύστημά μας μάς ειδοποίησε ότι η ιστοσελίδα της ιρανικής πρεσβείας στο Άμπου Ντάμπι είχε μολυνθεί με κακόβουλο κώδικα JavaScript. Ο υψηλού προφίλ χαρακτήρας του στόχου μας προκάλεσε εντύπωση και τις επόμενες εβδομάδες παρατηρήσαμε ότι και άλλες ιστοσελίδες με διασυνδέσεις στη Μέση Ανατολή ήταν επίσης στόχοι”.

Η ομάδα σίγησε μέχρι τον Ιανουάριο του 2021, όταν παρατηρήσαμε ένα νέο κύμα παραβιάσεων. Αυτό το δεύτερο κύμα διήρκεσε μέχρι τον Αύγουστο του 2021, όταν όλες οι ιστοσελίδες καθαρίστηκαν και πάλι όπως συνέβη το 2020 – πιθανότατα από τους ίδιους τους δράστες”, προσθέτει.

Σε αυτή την εκστρατεία, κάποιοι επισκέπτες των συγκεκριμένων ιστοσελίδων πιθανότατα να δέχθηκαν επίθεση μέσω ενός browser exploit. Ωστόσο, οι ερευνητές της ESET δεν μπόρεσαν να εντοπίσουν ούτε κάποιο exploit ούτε κάποιο τμήμα του κακόβουλου λογισμικού. Αυτό δείχνει ότι οι κυβερνοεγκληματίες έχουν επιλέξει να περιορίσουν το επίκεντρο των επιχειρήσεών τους και δεν θέλουν να αποκαλύψουν τα zero-day exploits τους, γεγονός που καταδεικνύει πόσο στοχευμένη είναι αυτή η εκστρατεία. Οι παραβιασμένες ιστοσελίδες χρησιμοποιούνται μόνο ως σημείο εκκίνησης για την προσέγγιση των τελικών στόχων.

Πολύ πιθανόν οι υπεύθυνοι των εκστρατειών watering hole να είναι πελάτες της Candiru. Οι δημιουργοί των εγγράφων και οι χειριστές των watering holes είναι επίσης δυνητικά οι ίδιοι. Καθώς η ισραηλινή Candiru προστέθηκε πρόσφατα στον κατάλογο οικονομικών κυρώσεων του Υπουργείου Εμπορίου των ΗΠΑ, αυτό σημαίνει ότι ένας οργανισμός με έδρα τις ΗΠΑ δε θα μπορεί να συνεργαστεί με την Candiru χωρίς προηγουμένως να λάβει άδεια από το Υπουργείο Εμπορίου.

“Ενα blogpost του Citizen Lab του Πανεπιστημίου του Τορόντο που μιλούσε για την Candiru, στην ενότητα με τίτλο ‘A Saudi-Linked Cluster?’ ανάφερε κάποιο έγγραφο spearphishing που ανέβηκε στο VirusTotal και πολλά domain που διαχειρίζονται οι επιτιθέμενοι. Τα ονόματα των domain είναι παραλλαγές γνήσιων URL shorteners και ιστοσελίδων web analytics, η οποία είναι η ίδια τεχνική που χρησιμοποιείται για τα domains που παρατηρούνται στις επιθέσεις watering hole”, εξηγεί ο Faou, συνδέοντας τις επιθέσεις με την εταιρεία Candiru.

Στα τέλη Ιουλίου του 2021, λίγο μετά τη δημοσίευση των blogposts από το Citizen Lab, τη Google και τη Microsoft που περιγράφουν λεπτομερώς τις δραστηριότητες της Candiru, η ESET έπαψε να βλέπει δραστηριότητα από αυτή την επιχείρηση. Οι χειριστές φαίνεται να κάνουν μια παύση, πιθανότατα για να αναδιοργανωθούν και να συγκαλύψουν την εκστρατεία τους. Η ESET Research τους αναμένει να επιστρέψουν τους επόμενους μήνες.

Για περισσότερες τεχνικές λεπτομέρειες σχετικά με αυτές τις επιθέσεις κατά ιστοσελίδων στη Μέση Ανατολή, διαβάστε το blogpost “Strategic web compromise in the Middle East with a pinch of Candiru” στο WeLiveSecurity. Ακολουθείστε τον λογαριασμό της ESET Research  στο Twitter για τα τελευταία νέα από την τους ερευνητές της ESET.

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

Security Report, Δεκέμβριος 2024
Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Δεκεμβρίου, πάντα μαζί με το περιοδικό Ψηφιακή Τηλεόραση. Στο νέο τεύχος θα βρείτε ενδιαφέροντα θέματα και δοκιμέ...
Creta Electronix 2024
Με επιτυχία ολοκληρώθηκε το κλαδικό τριήμερο της Creta Electronix 2024! Η τοπική αγορά υποδέχθηκε για ακόμη μία φορά με ενθουσιασμό τη διοργάνωση της Libra Press και έδειξε έντονο ενδιαφέρον για τ...
Dahua Cloud
Η Dahua Technology αναβάθμισε πρόσφατα την ολοκληρωμένη και αποτελεσματική λύση δικτύου της Dahua Cloud. Η δικτυακή λύση Dahua Cloud είναι μια ολοκληρωμένη, γρήγορη, αποτελεσματική και ασφαλής υπη...
G.I. Security X RISCO
Το Security Report παρακολούθησε το τεχνικό σεμινάριο που διοργάνωσε η G.I. Security για να παρουσιάσει τα νέα συστήματα ασφαλείας και αυτοματισμού της RISCO. Την Παρασκευή, 18 Οκτωβρίου στον μ...
Συστήματα συναγερμού
Στην επίσημη ιστοσελίδα της ελληνικής αστυνομίας διαβάζουμε τα κριτήρια για την έκδοση αδείας σύνδεσης ή ανανέωσης συστημάτων συναγερμού με αστυνομικές υπηρεσίες. Η άδεια σύνδεσης ή ανανέωσης σ...
Uniview IP Video Intercom
H Uniview εισέρχεται δυναμικά και στον τομέα του IP Video Intercom, διαθέτοντας αρχικά συστήματα για απλές εφαρμογές, ενώ το επόμενο διάστημα θα παρουσιάσει πληθώρα μοντέλων και λύσεων, ικανών να ...
ELDES EWP-EXT, EWC1 & EWC1A
Εξαιρετικά χρήσιμοι για τη βελτίωση της ασφάλειας σπιτιών και επιχειρήσεων, οι αισθητήρες εξωτερικού χώρου της ELDES προσφέρουν προηγμένη ανίχνευση και άμεση ενημέρωση για κάθε ύποπτη κίνηση ή δρα...