Compromiso de sitios web estratégicos de alto perfil en Medio Oriente.
Los investigadores de ESET han descubierto ataques de watering hole contra sitios web de alto perfil en Medio Oriente y su vínculo con el software espía Candiru.
En 2018, los investigadores de ESET desarrollaron un sistema interno personalizado para descubrir ataques de watering hole (también conocidos como compromiso de sitios web estratégicos) en sitios web de alto perfil. El julio de 2020 el sistema nos ha notificado que la página web de la embajada de Irán en Abu Dabi había sido modificada y había empezado a inyectar código JavaScript desde https://piwiks[.]com/reconnect.js.
Nuestra curiosidad se despertó por la naturaleza del sitio web comprometido y en las semanas siguientes notamos que otros sitios web vinculados a Medio Oriente comenzaron a ser blanco de acciones similares. Rastreamos el inicio de la campaña hasta marzo de 2020, cuando se volvió a registrar el dominio piwiks[.]com. Creemos que estos compromisos de sitios web estratégicos solo comenzaron en abril de 2020 cuando el sitio web de Middle East Eye (middleeasteye.net), un sitio de noticias digitales con sede en Londres que cubre la región, comenzó a inyectar código desde el dominio piwiks[.]com.
A finales de julio o principios de agosto de 2020, se limpiaron todos los sitios web comprometidos restantes; es probable que los propios atacantes hayan eliminado los scripts maliciosos de los sitios web comprometidos. El grupo de amenazas se mantuvo en silencio hasta enero de 2021, cuando observamos una nueva ola de compromisos. Esta segunda ola duró hasta agosto de 2021, cuando todos los sitios web se limpiaron nuevamente. Un compañero investigador compartió algunos indicadores de esta segunda ola en Twitter, lo que nos permite establecer un vínculo con lo que Kaspersky denomina Karkadann.
Detallamos el funcionamiento interno de los compromisos en la sección Análisis técnico a continuación, pero vale la pena señalar que los objetivos finales son visitantes específicos de esos sitios web, que es probable que reciban un exploit para el navegador. Los sitios web comprometidos solo se utilizan como una forma de alcanzar los objetivos finales.
También descubrimos vínculos interesantes con Candiru, detallados en la sección Vínculos entre los sitios de watering hole, documentos de spearphishing y Candiru. Candiru es una empresa privada de spyware israelí que fue recientemente añadida a la Lista de entidades (entidades sujetas a restricciones de licencia) del Departamento de Comercio de EE. UU. Esto puede impedir que cualquier organización con sede en los EE. UU. haga negocios con Candiru sin obtener primero una licencia por parte del Departamento de Comercio.
Al momento de escribir este artículo los operadores parece que están haciendo una pausa, probablemente para reorganizarse y hacer que su campaña sea más sigilosa. Esperamos volver a verlos en los próximos meses.
Blancos de ataque
Nuestro seguimiento muestra que los operadores están principalmente interesados en Oriente Medio, y con un énfasis particular en Yemen. La Tabla 1 muestra cuáles fueron las víctimas conocidas en 2020 y 2021.
Tabla 1. Dominios comprometidos durante la primera ola
| Compromised website | C&C | From | To | Detail |
|---|---|---|---|---|
| middleeasteye.net | piwiks[.]com | 2020‑04‑04 | 2020‑04‑06 | A UK-based online newspaper covering the Middle East. |
| piaggioaerospace.it | piwiks[.]com | 2020-07-08 | 2020-11-05 | An Italian aerospace company. |
| medica-tradefair[.]co | rebrandly[.]site | 2020-07-09 | 2020-10-13 | Fake website impersonating a German medical trade fair in Düsseldorf. |
| mfa.gov.ir | piwiks[.]com | 2020-07-11 | 2020-07-13 | Ministry of Foreign Affairs of Iran. |
| almanar.com.lb | rebrandly[.]site | 2020-07-24 | 2020-07-30 | Television channel linked to Hezbollah. |
| smc.gov.ye | visitortrack[.]net hotjar[.]net | 2021-01-18 2021-04-21 | 2021-04-14 2021-07-30 | Ministry of Interior of Yemen. |
| almasirahnews.com | visitortrack[.]net hotjar[.]net | 2021-01-25 2021-04-21 | 2021-03-25 2021-07-17 | Yemeni Television channel linked to the Ansar Allah movement (Houthis). |
| casi.gov.sy | hotjar[.]net | 2021-02-01 | Unknown | Central Authority for the Supervision and Inspection of Syria. |
| moe.gov.sy | hotjar[.]net | 2021-02-01 | Unknown | Syrian Ministry of Electricity. |
| almanar.com.lb | webfx[.]bz webffx[.]bz webffx[.]bz | 2021-02-03 2021-03-12 2021-03-24 | 2021-02-23 2021-03-24 2021-03-25 | Television channel linked to Hezbollah. |
| manartv.com.lb | webfx[.]bz | 2021-02-03 | 2021-03-22 | Television channel linked to Hezbollah. |
| mof.gov.ye | hotjar[.]net | 2021-02-11 | 2021-07-14 | Ministry of Finance of Yemen. |
| scs-net.org | hotjar[.]net | 2021-03-07 | Unknown | Internet Service Provider in Syria. |
| customs.gov.ye | livesesion[.]bid | 2021-03-24 | 2021-06-16 | Customs agency of Yemen. |
| denel.co.za pmp.co.za deneldynamics.co.za denellandsystems.co.za denelaviation.co.za | site-improve[.]net | 2021-03-31 2021-03-31 2021-04-03 2021-04-04 2021-04-07 | 2021-07-22 Unknown 2021-07-27 2021-07-23 2021-07-19 | A South African state-owned aerospace and military technology conglomerate. |
| yemen.net.ye | hotjar[.]net | 2021-04-15 | 2021-08-04 | Internet service provider in Yemen. |
| yemenparliament.gov.ye | hotjar[.]net | 2021-04-20 | 2021-07-05 | Parliament of Yemen. |
| yemenvision.gov.ye | hotjar[.]net | 2021-04-21 | 2021-06-13 | Yemeni government website. |
| mmy.ye | hotjar[.]net | 2021-05-04 | 2021-08-19 | Yemeni media linked to the Houthis. |
| thesaudireality.com | bootstrapcdn[.]net | 2021-06-16 | 2021-07-23 | Likely dissident media outlet in Saudi Arabia. |
| saba.ye | addthis[.]events | 2021-06-18 | Unknown | Yemeni news agency linked to Houthis. However, it seems it was taken over by the Southern Transitional Council in early June 2021, just before this website was compromised. |
medica-tradefair[.]co es el único atípico en esta lista, ya que el dominio no fue comprometido, pero sí fue operado por los propios atacantes. Estaba alojado en ServerAstra, al igual que todos los demás servidores C&C utilizados en 2020.
El sitio imita la web legítima de medica-tradefair.com, que es el sitio web de la feria comercial MEDICA del Foro Mundial de Medicina que se celebra cada año en Düsseldorf (Alemania). Los operadores simplemente clonaron el sitio web original y agregaron un pequeño fragmento de código JavaScript.
Como se observa en la Figura 2, el contenido no parece haber sido modificado. Es probable que los atacantes no pudieran comprometer el sitio web legítimo y tuvieran que configurar uno falso para inyectar su código malicioso.
Fuente: https://www.welivesecurity.com/