經歷了持續一年多的追蹤,網絡安全研究人員終於摸清了“中東之眼”新聞網站入侵事件的來龍去脈。由 ESET 周二發布的報告可知,一群黑客入侵了總部位於倫敦的這家熱門新聞網站。這家網站着眼於中東地區的新聞報道,而攻擊者的最終目標卻是網站訪客。
伊朗駐阿布扎比大使館網站的腳本注入
據悉,這輪黑客活動一直從 2020 年 3 月活躍到 2021 年 8 月,期間波及大約 20 個網站,同時導致不少訪客中招。
具體說來是,攻擊者利用了所謂的“水坑攻擊”(watering hole attacks)—— 借道合法網站,來瞄準它們的目標。
換言之,網站本身沒有受到太大的破壞,但卻讓特定的訪問者陷入了危險之中。
(圖 via TechTarget)
ESET 研究員 Matthieu Faou 在接受 Motherboard 電話採訪時稱,他們一直沒能摸清攻擊者的最終有效載荷,顯得它們在選擇攻擊目標時非常謹慎。
此外伊朗、敘利亞、也門等多國政府網站、一家位於意大利的航空航天企業、以及南非政府旗下的某國防集團站點 —— 它們都與“中東之眼”攻擊事件有千絲萬縷的聯繫。
ESET 推測,黑客可能是來自以色列的間諜軟件供應商 Candiru 的一位客戶,該公司已於早些時候被美國政府列入了黑名單。
Medica Trade Fair 克隆站點
作為業內最神秘的間諜軟件供應商之一,Candiru 並無所謂的官網,且據說已多次變更名稱。
不過由以色列《國土報》分享的一份文件可知,該公司“致力於提供滲透 PC 計算機、網絡、手機的高端網絡情報平台”。
在以色列紙媒於 2019 年首次曝光了 Candiru 的存在之後,包括卡巴斯基、微軟、Google、Citizen Lab 在內的多家網絡安全公司,紛紛對它的惡意軟件展開了持續追蹤。
FingerprintJS 主頁
當 Motherboard 與“中東之眼”取得聯繫人,該網站數字開發負責人 Mahmoud Bondok 表示他們剛剛意識到這一切,同時在周二發布的一份新聞中對攻擊事件予以譴責。
Matthieu Faou 表示,其計劃於華盛頓特區舉辦的 CYBERWARCON 會議上展示更多發現。遺憾的是,儘管他嘗試聯繫某些受影響的站點,但卻遲遲沒能收到任何答覆。
雖然這些站點看起來都沒有收到損害,但目前也不清楚是否相關網站已經逮住了黑客並刪除了惡意代碼,還是黑客自己動手清理了蛛絲馬跡。