•  ИНФОРМАЦИОННАЯ  БЕЗОПАСНОСТЬ  ГОСУДАРСТВЕННОГО  СЕКТОРА  ЭКОНОМИКИ,  БИЗНЕСА,  ЧАСТНОЙ  ЖИЗНИ  ГРАЖДАН  РОССИЙСКОЙ  ФЕДЕРАЦИИ
ESET Research обнаруживает атаки на сайты на Ближнем Востоке со ссылками на шпионские программы Candiru

ESET Research обнаруживает атаки на сайты на Ближнем Востоке со ссылками на шпионские программы Candiru

БРАТИСЛАВА, МОНРЕАЛЬ — 16 ноября 2021 года — Исследователи ESET обнаружили атаки на стратегический веб-компрометацию ("водопой") против известных веб-сайтов на Ближнем Востоке с особым упором на Йемен. Атаки связаны с Candiru, компанией, которая продает правительственным учреждениям самые современные наступательные программные средства и сопутствующие услуги. Пострадавшие веб-сайты принадлежат средствам массовой информации в Великобритании, Йемене и Саудовской Аравии, а также Хезболле; правительственным учреждениям в Иране (Министерству иностранных дел), Сирии (включая Министерство энергетики) и Йемене (включая Министерства внутренних дел и финансов); поставщикам интернет-услуг в Йемене и Сирии; и компаниям аэрокосмической и военной техники в Италии и Южной Африке. Злоумышленники также создали веб-сайт, имитирующий медицинскую выставку в Германии.

"ДАТАСИСТЕМ" ВАШ НАДЕЖНЫЙ ПОСТАВЩИК. С 2001 ГОДА НА РЫНКЕ ИТ. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ, СЕРВЕРЫ И ПК, СЕТЕВАЯ ИНФРАСТРУКТУРА, СЕРВИС И ТЕХНИЧЕСКАЯ ПОДДЕРЖКА.. 
logo.jpg РЕКОМЕНДУЕМЫЕ ПРОДУКТЫ:
ESET NOD32 Business Edition 
Решение ESET NOD32 Business Edition разработано для сетей крупных и средних организаций. Решение обеспечивает обнаружение и блокирование вирусов, троянских программ, червей, шпионских программ, рекламного ПО, фишинг-атак, руткитов и других интернет-угроз, представляющих опасность для компаний. Подробнее>>
ESET NOD32 Smart Security Business Edition 
ESET NOD32 Smart Security Business Edition – комплексное бизнес-решение для оперативного детектирования всех типов угроз за счет сочетания интеллектуальных облачных технологий и запатентованного метода эвристического анализа. Подробнее>>
ESET NOD32 Small Business Pack 
ESET NOD32 Small Business Pack – специальное антивирусное решение для небольшой компьютерной сети, обеспечивающее надежную защиту от вредоносных программ и интернет-угроз без лишних затрат. Подробнее>>

Офисный контроль и DLP Safetica

-ESET раскрывает исследование кампании стратегических веб-компромиссов, нацеленных на сайты средств массовой информации, правительства, интернет-провайдеров и компаний аэрокосмической/военной техники, со ссылками на Ближний Восток и уделением особого внимания Йемену и окружающему конфликту.

-Цели расположены на Ближнем Востоке: Иран, Саудовская Аравия, Сирия, Йемен; в Европе: Италия, Великобритания; и в Южной Африке. Злоумышленники также создали веб-сайт, имитирующий медицинскую выставку в Германии.

-Компания имеет тесные связи с Кандиру, израильской шпионской фирмой, недавно внесенной в черный список Министерством торговли США, которая продает современные программные средства и услуги для правительственных учреждений.

Атака на водопой компрометирует веб-сайты, которые, вероятно, будут посещаться заинтересованными лицами, тем самым открывая дверь для заражения компьютера посетителя веб-сайта. В этой кампании конкретные посетители этих веб-сайтов, вероятно, подверглись атаке с помощью эксплойта браузера. Однако исследователи ESET не смогли получить ни эксплойт, ни конечную полезную нагрузку. Это показывает, что участники угроз решили сузить фокус своих операций и не хотят сжигать свои эксплойты нулевого дня, демонстрируя, насколько целенаправленной является эта кампания. Скомпрометированные веб-сайты используются только в качестве отправной точки для достижения конечных целей.

“Еще в 2018 году мы разработали индивидуальную внутреннюю систему для обнаружения водопоев на популярных веб-сайтах. 11 июля 2020 года наша система уведомила нас о том, что веб-сайт посольства Ирана в Абу-Даби был заражен вредоносным кодом JavaScript. Наше любопытство было вызвано громким характером целевого веб-сайта, и в последующие недели мы заметили, что другие веб-сайты, связанные с Ближним Востоком, также были нацелены”, - говорит исследователь ESET Матье Фау, который раскрыл кампании "водопоя".

“Группа угроз затихла до января 2021 года, когда мы наблюдали новую волну компромиссов. Эта вторая волна продолжалась до августа 2021 года, когда все веб – сайты были снова очищены, как это было в 2020 году-вероятно, самими преступниками”, - добавляет он.

“Злоумышленники также имитировали веб-сайт, принадлежащий Всемирному форуму медицины, на выставке MEDICA, проходившей в Дюссельдорфе, Германия. Операторы клонировали исходный веб - сайт и добавили небольшой фрагмент кода JavaScript. Вполне вероятно, что злоумышленники не смогли скомпрометировать законный веб-сайт и были вынуждены создать поддельный, чтобы внедрить свой вредоносный код”, - говорит Фау.

Во время кампании 2020 года вредоносная программа проверила операционную систему и веб-браузер. Поскольку процесс отбора был основан на компьютерном программном обеспечении, кампания не была нацелена на мобильные устройства. Во второй волне, чтобы быть немного скрытнее, злоумышленники начали изменять скрипты, которые уже были на скомпрометированных сайтах.

“В блоге о Кандиру, опубликованном Citizen Lab в Университете Торонто, в разделе под названием "Кластер, связанный с Саудовской Аравией?" упоминается документ о подводной охоте, который был загружен в VirusTotal и несколько доменов, которыми управляли злоумышленники. Доменные имена являются вариациями подлинных сокращений URL-адресов и веб-сайтов для веб-аналитики, что является тем же методом, который используется для доменов, которые были замечены в атаках на водопой”, - объясняет Фау, связывая атаки с Кандиру.

Таким образом, существует значительная вероятность того, что операторы поливочных кампаний являются клиентами Candiru. Создатели документов и операторы водопоев также потенциально одинаковы. Candiru-частная израильская шпионская компания, которая недавно была добавлена в список организаций Министерства торговли США. Это может помешать любой американской организации вести бизнес с Candiru без предварительного получения лицензии Министерства торговли.

ESET прекратила наблюдать активность в этой операции в конце июля 2021 года, вскоре после публикации блогов Citizen Lab, Google и Microsoft, в которых подробно описывалась деятельность Кандиру. Операторы, похоже, делают паузу, вероятно, для того, чтобы перестроиться и сделать свою кампанию более скрытной. ESET Research ожидает их возвращения в ближайшие месяцы.

Для получения более подробной технической информации об этих атаках на веб-сайты на Ближнем Востоке читайте в блоге “Стратегический веб-компромисс на Ближнем Востоке с щепоткой Кандиру” о безопасности в WeLiveSecurity. Обязательно следуйте ESET Research в Twitter для получения последних новостей от ESET Research.
Материал подготовлен  Eset NOD32 

Купить ESET NOD32 Business Edition

logo.jpg ССЫЛКА ПО ТЕМЕ: Каталог программного обеспечения ESET NOD32 для бизнеса 
Переход в он-лайн магазин Датасиcтем - официального Поставщика Eset Nod32 в Российской Федерации. Перейти на сайт Поставщика>>

"ДАТАСИСТЕМ" ВАШ НАДЕЖНЫЙ ПОСТАВЩИК. С 2001 ГОДА НА РЫНКЕ ИТ. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ, СЕРВЕРЫ И ПК, СЕТЕВАЯ ИНФРАСТРУКТУРА, СЕРВИС И ТЕХНИЧЕСКАЯ ПОДДЕРЖКА.




Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Ваши контактные данные не публикуются на сайте.

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Популярное

Мы используем куки (cookies) с целью повышения удобства вашей работы с сайтом.

Продолжая работу с сайтом, вы соглашаетесь с нашей политикой конфиденциальности.