ESET<\/a>, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, identific\u00f3 una campa\u00f1a de compromiso de sitios web estrat\u00e9gicos (watering hole<\/i>) contra sitios web de alto perfil en el Medio Oriente, con un fuerte enfoque en Yemen. Los ataques est\u00e1n vinculados a Candiru, una empresa que vende herramientas de software ofensivas de \u00faltima generaci\u00f3n y servicios relacionados a agencias gubernamentales. Los sitios web victimizados pertenecen a medios de comunicaci\u00f3n en el Reino Unido, Yemen y Arabia Saudita, as\u00ed como a Hezbollah; a instituciones gubernamentales en Ir\u00e1n (Ministerio de Relaciones Exteriores), Siria (incluido el Ministerio de Electricidad) y Yemen (incluidos los Ministerios del Interior y Finanzas); a los proveedores de servicios de Internet en Yemen y Siria; ya empresas de tecnolog\u00eda aeroespacial\/militar en Italia y Sud\u00e1frica. Los atacantes tambi\u00e9n crearon un sitio web que imitaba una feria m\u00e9dica en Alemania.<\/p>\nUn ataque de este estilo se basa en comprometer los sitios web que probablemente sean visitados por objetivos de inter\u00e9s, lo que abre la puerta a infectar la m\u00e1quina de un visitante del sitio web. En esta campa\u00f1a, los visitantes espec\u00edficos de estos sitios web probablemente fueron atacados a trav\u00e9s de un exploit del navegador. Sin embargo, los investigadores de ESET no pudieron conseguir un exploit o el payload final. Esto muestra que los actores de las amenazas han optado por limitar el enfoque de sus operaciones y no quieren utilizar -y consecuentemente revelar- sus exploits zero-day, lo que demuestra cu\u00e1n altamente dirigida es esta campa\u00f1a. Los sitios web comprometidos solo se utilizan como punto de partida para alcanzar los objetivos finales.<\/p>\n
Por Francisco D’Agostino<\/p>\n
\u201cEn 2018, desarrollamos un sistema interno personalizado para descubrir ataques de watering hole (tambi\u00e9n conocidos como compromiso de sitios web estrat\u00e9gicos) en sitios web de alto perfil.\u00a0 El 11 de julio de 2020, nuestro sistema nos notific\u00f3 que el sitio web de la embajada iran\u00ed en Abu Dhabi estaba contaminado con c\u00f3digo JavaScript malicioso. Nuestra curiosidad se despert\u00f3 por la naturaleza de alto perfil del sitio web objetivo, y en las siguientes semanas notamos que otros sitios web con conexiones a Oriente Medio tambi\u00e9n fueron objetivo<\/i> \u201d, dice el investigador de ESET Matthieu Faou, quien descubri\u00f3 las campa\u00f1as.<\/p>\n
\u201cEl grupo de amenazas se mantuvo en silencio hasta enero de 2021, cuando observamos una nueva ola de compromisos. Esta segunda ola dur\u00f3 hasta agosto de 2021, cuando todos los sitios web fueron limpiados nuevamente como fue el caso en 2020, probablemente por los propios perpetradores<\/i>\u201d, agrega.<\/p>\n
\u201cLos atacantes tambi\u00e9n imitaron un sitio web perteneciente a la feria comercial MEDICA del Foro Mundial de Medicina celebrada en D\u00fcsseldorf, Alemania. Los operadores clonaron el sitio web original y agregaron un peque\u00f1o fragmento de c\u00f3digo JavaScript. Es probable que los atacantes no pudieran comprometer el sitio web leg\u00edtimo y tuvieran que configurar uno falso para inyectar su c\u00f3digo malicioso<\/i>\u201d, dice Faou.<\/p>\n
Por Francisco D’Agostino<\/p>\n
Durante la campa\u00f1a de 2020, el malware verific\u00f3 el sistema operativo y el navegador web. La amenaza continuaba con sus funcionalidades solo si el equipo contaba con un sistema operativo Windows o macOS, lo que sugiere que la campa\u00f1a no estaba dirigida a dispositivos m\u00f3viles. En la segunda ola, para ser un poco m\u00e1s sigilosos, los atacantes comenzaron a modificar los scripts que ya estaban en los sitios web comprometidos.<\/p>\n
\u201cEn una entrada de blog sobre Candiru de Citizen Lab en la Universidad de Toronto, la secci\u00f3n llamada ‘\u00bfUn cl\u00faster vinculado a Arabia Saudita? ‘Menciona un documento de spearphishing que se carg\u00f3 en VirusTotal y en varios dominios operados por los atacantes. Los nombres de dominio son variaciones de acortadores de URL genuinos y sitios web de an\u00e1lisis web, que es la misma t\u00e9cnica utilizada para los dominios que se ven en los ataques de watering holes<\/i>\u201d, explica Faou, vinculando los ataques a Candiru.<\/p>\n
Por Francisco D’Agostino<\/p>\n
Por lo tanto, existe una probabilidad significativa de que los operadores de las campa\u00f1as sean clientes de Candiru. Los creadores de los documentos y los operadores de los watering hole potencialmente tambi\u00e9n sean los mismos. Candiru es una empresa israel\u00ed privada de software esp\u00eda que se agreg\u00f3 recientemente a la lista de entidades del Departamento de Comercio de EE. UU. Esto puede impedir que cualquier organizaci\u00f3n con sede en EE.UU. Haga negocios con Candiru sin obtener primero una licencia del Departamento de Comercio.<\/p>\n
ESET<\/a> dej\u00f3 de ver la actividad de esta operaci\u00f3n a fines de julio de 2021, poco despu\u00e9s del lanzamiento de publicaciones de blog por parte de Citizen Lab, Google y Microsoft que detallaban las actividades de Candiru.<\/p>\nPor Francisco D’Agostino<\/p>\n","protected":false},"excerpt":{"rendered":"
Por Francisco D’Agostino El equipo de investigaci\u00f3n de ESET, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, identific\u00f3 una campa\u00f1a de compromiso de sitios web estrat\u00e9gicos (watering hole) contra sitios web de alto perfil en el Medio Oriente, con un fuerte enfoque en Yemen. Los ataques est\u00e1n vinculados a Candiru, una empresa que vende herramientas de […]<\/p>\n","protected":false},"author":2,"featured_media":10818,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[93,146,2],"tags":[988,1858,9110],"wppr_data":{"cwp_meta_box_check":"No"},"_links":{"self":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts\/10817"}],"collection":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/comments?post=10817"}],"version-history":[{"count":1,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts\/10817\/revisions"}],"predecessor-version":[{"id":10819,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts\/10817\/revisions\/10819"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/media\/10818"}],"wp:attachment":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/media?parent=10817"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/categories?post=10817"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/tags?post=10817"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}