(Parigi) La società di sicurezza informatica slovacca Eset martedì ha rivelato una campagna di attacchi informatici mirati in Medio Oriente collegata a Candiru, la società israeliana di basso profilo specializzata in hacking. Il 4 novembre, Candiru è stata inserita nella lista nera negli Stati Uniti, insieme alla società israeliana NSO, responsabile dello spyware Pegasus.
“Riteniamo che sia stato uno degli agenti di Kanderu a effettuare questi attacchi”, ha spiegato con gli strumenti forniti da quest’ultimo l’investigatore di ESET Matthew Fau, che ha condotto le indagini.
Eset non designa esplicitamente questo cliente, ma si riferisce piuttosto al Regno dell’Arabia Saudita.
La società di sicurezza informatica osserva che i server utilizzati dall’attaccante hanno nomi di dominio dello stesso tipo di quelli utilizzati in un’altra campagna attribuita all’Arabia Saudita da Citizen Lab, un laboratorio specializzato presso l’Università di Toronto.
tecnologia delle gocce d’acqua
La campagna evidenziata da Eset è un attacco di tipo “water pit”, ed è stata osservata tra luglio 2020 e agosto 2021.
Consiste nel mettere a rischio le vittime intrappolando il codice dannoso di siti Web perfettamente legittimi che queste persone potrebbero visitare.
In questo caso particolare, i siti web assediati erano siti di media, fornitori di servizi Internet, siti web del governo o compagnie aeree militari, con collegamenti allo Yemen e al conflitto, secondo ESET.
media britannici, Occhio del Medio Oriente, la società italiana Piaggio Aerospace e i siti ufficiali dei paesi iraniani, siriani e yemeniti e i siti filo-iraniani di Hezbollah.
Campagna altamente mirata
L’attaccante ha anche creato un falso dal sito web della fiera medica Medica a Dusseldorf, in Germania, secondo East.
Secondo Mr. Faw, questa non era una campagna di massa, ma piuttosto una campagna altamente mirata, rivolta a un numero di persone probabilmente “molto, molto giovani”.
Il 4 novembre, il Dipartimento del Commercio degli Stati Uniti ha inserito nella lista nera Candiru e altre tre società specializzate nella vendita di strumenti di attacco informatico: la NSO israeliana, l’editore del popolare spyware Pegasus, la società russa Positive Technologies e la società di consulenza di Singapore Computer Security Initiative (Coseic). .
Questa lista nera limita il commercio con le società designate.