ESET:駭客借中東新聞網站對目標訪客發起攻擊
經歷了持續一年多的追蹤,網路安全研究人員終於摸清了”中東之眼”新聞網站入侵事件的來龍去脈。 由ESET週二發佈的報告可知,一群駭客入侵了總部位於倫敦的這家熱門新聞網站。 這家網站著眼於中東地區的新聞報導,而攻擊者的最終目標卻是網站訪客。
伊朗駐阿布達比大使館網站的腳本注入
據悉,這輪駭客活動一直從 2020 年 3 月活躍到 2021 年 8 月,期間波及大約 20 個網站,同時導致不少訪客中招。
具體說來是,攻擊者利用了所謂的「水坑攻擊」 (watering hole attacks)—— 借道合法網站,來瞄準它們的目標。
換言之,網站本身沒有受到太大的破壞,但卻讓特定的訪問者陷入了危險之中。
(圖 via TechTarget)
ESET 研究員 Matthieu Faou 在接受 Motherboard 電話採訪時稱,他們一直沒能摸清攻擊者的最終有效載荷,顯得它們在選擇攻擊目標時非常謹慎。
此外伊朗、敘利亞、葉門等多國政府網站、一家位於義大利的航空航天企業、以及南非政府旗下的某國防集團網站 —— 它們都與”中東之眼”攻擊事件有千絲萬縷的聯繫。
ESET 推測,駭客可能是來自以色列的間諜軟體供應商 Candiru 的一位客戶,該公司已於早些時候被美國政府列入了黑名單。
Medica Trade Fair 克隆網站
作為業內最神秘的間諜軟體供應商之一,Candiru 並無所謂的官網,且據說已多次變更名稱。
不過由以色列《國土報》分享的一份檔可知,該公司”致力於提供滲透PC計算機、網路、手機的高端網路情報平臺”
在以色列紙媒於 2019 年首次曝光了 Candiru 的存在之後,包括卡巴斯基、微軟、Google、Citizen Lab 在內的多家網路安全公司,紛紛對它的惡意軟體展開了持續追蹤。
FingerprintJS 主頁
當Motherboard與「中東之眼」取得聯繫人,該網站數字開發負責人Mahmoud Bondok表示他們剛剛意識到這一切,同時在周二發佈的一份新聞中對攻擊事件予以譴責。
Matthieu Faou 表示,其計劃於華盛頓特區舉辦的 CYBERWARCON 會議上展示更多發現。 遺憾的是,儘管他嘗試聯繫某些受影響的網站,但卻遲遲沒能收到任何答覆。
雖然這些網站看起來都沒有收到損害,但目前也不清楚是否相關網站已經逮住了駭客並刪除了惡意代碼,還是駭客自己動手清理了蛛絲馬跡。