Spyware Candiru, ondata di attacchi a siti web in Yemen
-
- Tweet
- Pin It
- Condividi per email
-
I ricercatori di Eset hanno scoperto degli attacchi strategici di compromissione web (watering hole) contro siti di alto profilo presenti in Medio Oriente, con una forte attenzione allo Yemen. Gli attacchi sono legati a Candiru, una società che vende strumenti software offensivi all’avanguardia e servizi correlati alle agenzie governative. I siti web colpiti appartengono a media presenti nel Regno Unito, Yemen e Arabia Saudita, così come a Hezbollah; a istituzioni governative in Iran (Ministero degli Affari Esteri), Siria (incluso il Ministero dell’Energia elettrica) e Yemen (inclusi i Ministeri dell’Interno e delle Finanze); a internet service provider in Yemen e Siria; e a società di tecnologia aerospaziale/militare in Italia e Sud Africa. Gli aggressori hanno anche creato un sito web che imitava un evento del settore medicale in Germania.
Un attacco watering hole compromette i siti web che sono frequentati da obiettivi di interesse, aprendo così la porta alla compromissione del computer dell’utente che sta visitando il sito. In questa campagna, i visitatori specifici di questi siti web sono stati probabilmente attaccati tramite un exploit del browser.
Tuttavia, i ricercatori di Eset non hanno rintracciato né un exploit né il payload finale. Questo dimostra che gli autori della minaccia hanno scelto di restringere il focus delle loro operazioni e non vogliono bruciare i loro exploit zero-day, dimostrando quanto sia altamente mirata questa campagna. I siti web compromessi vengono utilizzati solo come punto di partenza per raggiungere gli obiettivi finali.
“Già nel 2018, abbiamo sviluppato un sistema interno personalizzato per scoprire i watering hole sui siti web di alto profilo. L’11 luglio 2020, il nostro sistema ci ha notificato che il sito web dell’ambasciata iraniana ad Abu Dhabi era stato contaminato con codice JavaScript dannoso. La nostra curiosità è stata suscitata dalla natura di alto profilo del sito web preso di mira, e nelle settimane successive abbiamo notato che anche altri siti web con collegamenti al Medio Oriente erano entrati nel mirino degli aggressori”, racconta Matthieu Faou, ricercatore di Eset che ha scoperto le campagne di watering hole.
“Il gruppo è rimasto in sordina fino a gennaio 2021, quando abbiamo osservato una nuova ondata di compromissioni. Questa seconda ondata è durata fino ad agosto 2021, quando tutti i siti web sono stati ripuliti di nuovo come nel 2020 – probabilmente dagli stessi autori”, aggiunge.
“Gli aggressori hanno anche imitato un sito web appartenente al World Forum for Medicine che si tiene a Düsseldorf, in Germania. Gli operatori hanno clonato il sito web originale e aggiunto una piccola partizione di codice JavaScript. È probabile che gli aggressori non siano stati in grado di compromettere il sito web legittimo e abbiano dovuto crearne uno falso per iniettare il loro codice maligno”, spiega Faou.
Durante la campagna 2020, il malware ha monitorato il sistema operativo e il browser web. Poiché il processo di selezione era basato sul software del computer, la campagna non prendeva di mira i dispositivi mobili. Nella seconda ondata, per dare meno nell’occhio, gli attaccanti hanno iniziato a modificare gli script che erano già presenti sui siti web compromessi.
“In un blogpost su Candiru di Citizen Lab dell’Università di Toronto, la sezione chiamata ‘A Saudi-Linked Cluster?’ menziona un documento di spearphishing che è stato caricato su VirusTotal e più domini gestiti dagli attaccanti. I nomi dei domini sono variazioni di URL shortener autentici e siti web di analisi, e la tecnica è la stessa utilizzata per i domini analizzati negli attacchi di watering hole”, spiega Faou, collegando gli attacchi a Candiru.
Esiste, quindi, una probabilità significativa che gli operatori delle campagne di watering hole siano clienti di Candiru. È possibile anche che i creatori dei documenti e gli operatori dei watering hole siano gli stessi. Candiru è una società privata israeliana di spyware che è stata recentemente aggiunta alla Entity List del Dipartimento del Commercio degli Stati Uniti. Questo limita le organizzazioni con sede negli Stati Uniti nel fare affari con Candiru senza prima ottenere autorizzazione dal Dipartimento del Commercio.
Eset non rileva attività da questa operazione dalla fine di luglio 2021, poco dopo la pubblicazione dei blogpost da parte di Citizen Lab, Google e Microsoft che dettagliano le attività di Candiru. Gli operatori sembrano essersi presi una pausa, probabilmente per riadattare e rendere la loro campagna più nascosta. Eset Research si aspetta nuove attività nei prossimi mesi.
Contenuti correlati
-
Quanto costa non conoscere la propria aziende: fermi macchina, sprechi energetici, dati su cartaIn una quota significativa di stabilimenti manifatturieri italiani, i dati di produzione viaggiano ancora su carta o su fogli elettronici gestiti manualmente. I fermi macchina si registrano senza strumenti automatici, i consumi energetici si leggono sulla bolletta...
-
Proteggere gli smart building nei settori criticiCon la crescente diffusione degli smart building, i Building Management System (BMS) stanno diventando parte integrante delle infrastrutture mission-critical, ma anche nuovi punti di esposizione cyber spesso sottovalutati. Infrastruttura centrale degli smart building Gli smart building si...
-
Digitalizzazione della rete elettrica maltese: alleanza strategica fra Siemens ed Enemalta plcFondata nel 1977, Enemalta plc è la principale azienda responsabile della distribuzione dell’energia elettrica sull’intero territorio delle isole di Malta e Gozo, dove gestisce una rete nazionale complessa al servizio di circa 400.000 tra famiglie e imprese,...
-
Ignition e Relatech-EFA: gestione remota degli impianti idroelettrici per ZecoIn un mercato dell’energia sempre più orientato alla sostenibilità e alla continuità operativa, Relatech SpA, Digital Enabler Solution Know-How (Desk), e la sua controllata EFA Automazione SpA hanno supportato con le loro tecnologie e soluzioni digitali la...
-
Acqua, una risorsa da proteggereCome proteggere dal rischio cyber le infrastrutture critiche, in particolare i sistemi di approvvigionamento idrico e fognario? I suggerimenti di Stormshield Leggi l’articolo
-
Costruire una smart grid affidabile: l’importanza di un’infrastruttura resiliente per le utilityCon la crescente adozione di risorse energetiche distribuite e la necessità di adottare reti elettriche più intelligenti, il mercato delle utility si trova ad affrontare nuove sfide. La resilienza e affidabilità delle infrastrutture sono diventate cruciali per...
-
Da Telco a TechCo: la sostenibilità economica dell’ecosistema TLC“Il passaggio da Telco a TechCo è un percorso che richiede visione, misure a sostegno della trasformazione e degli investimenti che generano valore per l’intero sistema Paese”: lo ha dichiarato Laura Di Raimondo, direttore generale di Asstel,...
-
Modernizzare e segmentare per proteggere dal rischio cyber le infrastrutture criticheNegli ultimi mesi sono state pubblicate diverse ricerche in merito allo stato della cybersecurity delle infrastrutture critiche su scala globale che evidenziano come, anche in Europa, le utilities del comparto idrico siano sempre più oggetto di attacchi...
-
Tendenze nell’automazione: sicurezza, AI e sostenibilità sono i motori del futuroLe incertezze economiche, la crescente pressione normativa e la carenza di lavoratori qualificati stanno frenando la competitività dell’industria e la sua capacità di innovare. L’automazione è una leva potente per affrontare queste sfide. Bosch Rexroth identifica quattro...
-
Le reti in ambienti criticiVediamo quali sono le principali normative di riferimento e le linee guida tecniche per l’implementazione di reti affidabili e sicure, adatte a operare in ambienti critici o regolamentati Leggi l’articolo
Scopri le novità scelte per te
-
Quanto costa non conoscere la propria aziende: fermi macchina, sprechi energetici, dati su carta
In una quota significativa di stabilimenti manifatturieri italiani, i dati di produzione viaggiano ancora su carta o...
-
Proteggere gli smart building nei settori critici
Con la crescente diffusione degli smart building, i Building Management System (BMS) stanno diventando parte integrante delle...
Notizie Tutti ▶
-
Smart Transport Design Challenge: la sfida lanciata dalla community element14La community Avnet, element14, ha lanciato una nuova Smart Transport Design Challenge, invitando ingegneri,...
-
ANIE al MIMIT: tecnologie strategiche per competitività e autonomia industriale europeaRafforzare le filiere tecnologiche, accelerare gli investimenti in energia e infrastrutture e sostenere la...
-
Canon: come le aziende possono guidare la trasformazione del workplace nel 2026 e negli anni a venireI progressi tecnologici stanno portando a rapidi cambiamenti nel moderno ambiente di lavoro e,...
Prodotti Tutti ▶
-
Normative UE e soluzioni Rittal: transizione ai nuovi gas refrigerantiA partire dal 2027 entreranno in vigore nuove normative europee che imporranno ulteriori restrizioni...
-
Moxa a The smarter E Europe: networking sicuro per infrastrutture energetiche criticheMoxa Europe GmbH, azienda punto di riferimento nelle soluzioni di comunicazione e networking industriale,...
-
Siemens a Next Mobility Exhibition 2026: Megawatt Charging System e media tensione sostenibileSiemens conferma la propria presenza a Next Mobility Exhibition (NME) 2026, l’evento internazionale dedicato...
