APP下载

遭美方制裁的资安业者Candiru对中东网站展开水坑攻击

消息来源:baojiabao.com 作者: 发布时间:2024-09-29

报价宝综合消息遭美方制裁的资安业者Candiru对中东网站展开水坑攻击

ESET资安业者在本周揭露了来自同一集团的两波水坑攻击,并相信相关攻击是来自于甫于11月初遭到美国制裁的以色列资安业者Candiru。

ESET在2018年开发了一个客制化的就地部署系统,可侦测高知名度的网站是否遭遇到水坑(Watering Hole)攻击,水坑攻击是由骇客先于合法网站上植入恶意程式,但目标并非这些网站,而是造访网站的使用者。

研究人员侦测到的第一波水坑攻击始于2020年4月,当时被骇客作为攻击跳板的其中一个网站,是英国专门报导中东新闻的Middle East Eye,但这波攻击只持续到同年7月底,骇客即清除了所有网站上的恶意程式;第二波攻击始于今年的1月,一直延续到今年8月,同样的,骇客也主动清除了被骇网站的恶意程式码。

调查显示,这两波攻击总计危害了数十个网站,除了专门报导中东的新闻网站之外,还包括伊朗外交部、与真主党有关的多个电视频道、也门内政部、也门财政部、也门议会、也门电视频道、叙利亚的中央监督及检查机构、叙利亚的电力部,以及叙利亚/也门的网络服务供应商等。

在第一波的攻击中,骇客会先检查使用者的操作系统,只有采用Windows或macOS系统才会成为攻击目标,也检查其浏览器品牌;而在第二波的攻击中,骇客检查的装置指纹更详细了,从系统预设的语言、所使用的浏览器、时区、浏览器插件及IP地址等,令研究人员相信这是高度目标性的攻击行动。

虽然ESET团队没能取得骇客递送给受害者的酬载或攻击程式,但他们相信骇客的目的,是以浏览器攻击程式来取得受害者的系统权限。

此外,有鉴于相关攻击所使用的C&C服务器及注册恶意网址的公司都跟Candiru有关,再加上其停止攻击的时间点刚好是公民实验室将Candiru曝光后没多久,当时Google也公布了已经遭到骇客开采的4个浏览器零时差漏洞,且Chrome、IE与Safari皆榜上有名,使得ESET研究人员相信这两波攻击的幕后黑手就是Candiru。

另一资安业者卡巴斯基(Kaspersky)也发现了这两波的水坑攻击行动,并将它们分别命名为Piwiks与Karkadann,但未探究相关攻击的来源。

2021-11-17 16:46:00

相关文章