遭美方制裁的资安业者Candiru对中东网站展开水坑攻击

ESET资安业者在本周揭露了来自同一集团的两波水坑攻击，并相信相关攻击是来自于甫于11月初遭到美国制裁的以色列资安业者Candiru。

ESET在2018年开发了一个客制化的就地部署系统，可侦测高知名度的网站是否遭遇到水坑（Watering Hole）攻击，水坑攻击是由骇客先于合法网站上植入恶意程式，但目标并非这些网站，而是造访网站的使用者。

研究人员侦测到的第一波水坑攻击始于2020年4月，当时被骇客作为攻击跳板的其中一个网站，是英国专门报导中东新闻的Middle East Eye，但这波攻击只持续到同年7月底，骇客即清除了所有网站上的恶意程式；第二波攻击始于今年的1月，一直延续到今年8月，同样的，骇客也主动清除了被骇网站的恶意程式码。

调查显示，这两波攻击总计危害了数十个网站，除了专门报导中东的新闻网站之外，还包括伊朗外交部、与真主党有关的多个电视频道、也门内政部、也门财政部、也门议会、也门电视频道、叙利亚的中央监督及检查机构、叙利亚的电力部，以及叙利亚／也门的网络服务供应商等。

在第一波的攻击中，骇客会先检查使用者的操作系统，只有采用Windows或macOS系统才会成为攻击目标，也检查其浏览器品牌；而在第二波的攻击中，骇客检查的装置指纹更详细了，从系统预设的语言、所使用的浏览器、时区、浏览器插件及IP地址等，令研究人员相信这是高度目标性的攻击行动。

虽然ESET团队没能取得骇客递送给受害者的酬载或攻击程式，但他们相信骇客的目的，是以浏览器攻击程式来取得受害者的系统权限。

此外，有鉴于相关攻击所使用的C&C服务器及注册恶意网址的公司都跟Candiru有关，再加上其停止攻击的时间点刚好是公民实验室将Candiru曝光后没多久，当时Google也公布了已经遭到骇客开采的4个浏览器零时差漏洞，且Chrome、IE与Safari皆榜上有名，使得ESET研究人员相信这两波攻击的幕后黑手就是Candiru。

另一资安业者卡巴斯基（Kaspersky）也发现了这两波的水坑攻击行动，并将它们分别命名为Piwiks与Karkadann，但未探究相关攻击的来源。