El vendedor israelí de software espía Candiru, que se agregó a la lista de bloqueo económico del gobierno de EE. UU. este mes, supuestamente lideró ataques contra entidades de alto rango en el Reino Unido y Medio Oriente, según muestran nuevos hallazgos.

“Los sitios web difíciles pertenecen a los medios de comunicación del Reino Unido, Yemen y Arabia Saudita, así como a Hezbolá; a instituciones gubernamentales en Irán (Ministerio de Relaciones Exteriores), Siria (incluido el Ministerio de Electricidad) y Yemen (incluido el Ministerio del Interior y Finanzas), proveedores de servicios de Internet en Yemen y Siria, y empresas militares y de aviación en Italia y Sudáfrica ”, dijo ESET en un nuevo informe. «Los atacantes también crearon un sitio web que imita la feria médica en Alemania».

Se cree que las compensaciones estratégicas de la web tuvieron lugar en dos oleadas, la primera comenzó en marzo de 2020 y finalizó en agosto de 2020, y la segunda serie de ataques comenzó en enero de 2021 y duró hasta principios de agosto de 2021, cuando los sitios objetivo fueron eliminados. limpiar scripts maliciosos.

Los ataques de pozo de agua son una forma de intrusiones altamente dirigidas en el sentido de que tienden a infectar a un grupo específico de usuarios finales a través de sitios web de puerta trasera, que se sabe que son visitados con frecuencia por miembros del grupo para abrir la puerta a sus máquinas para abusos posteriores. . ocupaciones.

«El sitio web comprometido solo se usa como punto de partida para lograr los objetivos finales», dijo la compañía de ciberseguridad eslovaca, vinculando la segunda ola con un jugador de amenazas rastreado por Kaspersky como Karkadann, citando superposiciones en tácticas, técnicas y procedimientos (TTP). La compañía rusa ha descrito que el grupo ha estado apuntando a los medios gubernamentales y de noticias en el Medio Oriente desde al menos octubre de 2020.

Las secuencias originales de ataque consistían en incrustar código JavaScript en páginas web desde un dominio controlado por un atacante remoto que está diseñado para recopilar y filtrar la geolocalización de IP y la información del sistema sobre la computadora de la víctima, y ​​decidieron continuar solo si el sistema operativo afectado es Windows o macOS. . . , lo que sugiere que la campaña se organizó para apuntar a computadoras, no a dispositivos móviles. El último paso condujo al probable uso indebido de la ejecución remota de código por parte del navegador, lo que permitió a los atacantes tomar el control de la máquina.

La segunda ola observada en enero de 2021 fue más secreta porque se realizaron modificaciones de JavaScript en scripts legítimos de WordPress («wp-embed.min.js») utilizados por sitios web en lugar de agregar código malicioso directamente a la página HTML principal. utilizando un método para cargar un script desde un servidor bajo el control de un atacante. Además, el script de huellas dactilares también fue más allá de la recopilación de metadatos del sistema para capturar el idioma predeterminado, la lista de fuentes compatibles con el navegador, la zona horaria y la lista de complementos del navegador.

La utilización exacta y la carga útil entregada final aún no se conocen. «Esto demuestra que los operadores han decidido limitar el enfoque de sus operaciones y no quieren quemar sus exploits de día cero», dijo Matthieu Faou, investigador de malware de ESET.

Las referencias de la campaña a Candira se derivan del hecho de que algunos de los servidores de comando y control utilizados por los atacantes son similares a dominios previamente identificados como pertenecientes a empresas israelíes, sin mencionar que tienen capacidades de ejecución remota de código basadas en navegador en su arsenal. , aumentando la posibilidad de que «los operadores de riego sean clientes de Candira».

ESET también señaló que los atacantes cesaron sus operaciones a fines de julio de 2021, en línea con la revelación pública de Candir sobre el uso de varias vulnerabilidades de día cero en el navegador web Chrome para atacar a las víctimas en Armenia. «Los operadores parecen estar tomándose un descanso, probablemente para rehacer y hacer que su campaña sea más discreta», dijo Faou. «Esperamos verlos en los próximos meses».