经过一年多的跟踪,网络安全研究人员终于找到了“中东之眼”新闻网站入侵的来龙去脉。ESET 周二发布的报告显示,一群黑客入侵了总部位于伦敦的热门新闻网站。该网站专注于中东的新闻报道,而攻击者的最终目标是访问者。
注入伊朗驻阿布扎比大使馆网站的脚本
据悉,这一轮黑客活动已从 2020年 3 月活跃至 2021年 8月,期间约有 20个网站受到影响,同时也导致不少游客中招。
具体来说,攻击者使用了所谓的“水坑攻击”(watering hole attacks)—— 通过合法网站瞄准他们的目标。
换言之,网站本身没有受到太大的破坏,但却让特定的访问者陷入了危险之中。
(图 via TechTarget)
ESET 研究员 Matthieu Faou 在接受 Motherboard 在接受电话采访时表示,他们从未找到攻击者的最终有效载荷,这表明他们在选择攻击目标时非常谨慎。
此外,伊朗、叙利亚、也门等政府网站,意大利航空航天企业,南非政府旗下的国防集团网站 —— 他们都和“中东之眼”攻击事件密不可分。
ESET 推测黑客可能是以色列的间谍软件供应商 Candiru 的一位客户早些时候被美国政府列入黑名单。
Medica Trade Fair 克隆站点
作为业内最神秘的间谍软件供应商之一,Candiru 官网不重要,据说名字已经多次变更。
然而,根据以色列国土报共享的一份文件,该公司“致力于提供渗透 PC 计算机、网络、手机高端网络情报平台”。
2019年以色列纸媒首次曝光 Candiru 存在后,包括卡巴斯基、微软、Google、Citizen Lab 包括许多网络安全公司在内的恶意软件不断跟踪。
FingerprintJS 主页
当 Motherboard 与“中东之眼”网站数字开发负责人 Mahmoud Bondok 说他们刚刚意识到这一切,并在周二发布的一则新闻中谴责了攻击。
Matthieu Faou 表示,其计划于华盛顿特区举办的 CYBERWARCON 会议上显示了更多的发现。不幸的是,尽管他试图联系一些受影响的网站,但他没有得到任何答复。
虽然这些网站似乎没有受到损坏,但目前还不清楚相关网站是否抓住了黑客并删除了恶意代码,或者黑客自己清理了线索。