ESET安全企业在本周披露了来自同一集团的两波水坑攻击,并相信相关攻击是来自于始于11月初遭到美国制裁的以色列安全企业Candiru。
ESET在2018年开发了一个定制化的本地部署系统,可侦测高知名度的网站是否遭遇到水坑(Watering Hole)攻击,水坑攻击是由黑客先于合法网站上植入恶意程序,但目标并非这些网站,而是访问网站的用户。
研究人员侦测到的第一波水坑攻击始于2020年4月,当时被黑客作为攻击跳板的其中一个网站,是英国专门报道中东新闻的Middle East Eye,但这波攻击只持续到同年7月底,黑客即清除了所有网站上的恶意程序;第二波攻击始于今年的1月,一直延续到今年8月,同样的,黑客也主动清除了被黑网站的恶意程序代码。
调查显示,这两波攻击总计危害了数十个网站,除了专门报道中东的新闻网站之外,还包括伊朗外交部、与真主党有关的多个电视频道、也门内政部、也门财政部、也门议会、也门电视频道、叙利亚的中央监督及检查机构、叙利亚的电力部,以及叙利亚/也门的网络服务供应商等。
在第一波的攻击中,黑客会先检查用户的操作系统,只有采用Windows或macOS系统才会成为攻击目标,也检查其浏览器品牌;而在第二波的攻击中,黑客检查的设备指纹更详细了,从系统默认的语言、所使用的浏览器、时区、浏览器插件程序及IP地址等,令研究人员相信这是高度目标性的攻击行动。
虽然ESET团队没能取得黑客传送给受害者的酬载或攻击程序,但他们相信黑客的目的,是以浏览器攻击程序来取得受害者的系统权限。
此外,有鉴于相关攻击所使用的C&C服务器及注册恶意网址的公司都跟Candiru有关,再加上其停止攻击的时间点刚好是公民实验室将Candiru曝光后没多久,当时Google也公布了已经遭到黑客开采的4个浏览器零时差漏洞,且Chrome、IE与Safari皆榜上有名,使得ESET研究人员相信这两波攻击的幕后黑手就是Candiru。
另一安全企业卡巴斯基(Kaspersky)也发现了这两波的水坑攻击行动,并将它们分别命名为Piwiks与Karkadann,但未探究相关攻击的来源。