Los investigadores de ESET han descubierto una serie de ataques estratégicos de tipo watering hole contra sitios web de alto perfil en Oriente Medio, con un fuerte foco en Yemen. Los ataques están vinculados a Candiru, una empresa que vende herramientas de software ofensivo de última generación y servicios relacionados a agencias gubernamentales. Los sitios web atacados pertenecen a medios de comunicación del Reino Unido, Yemen y Arabia Saudí, así como a Hezbolá; a instituciones gubernamentales de Irán (Ministerio de Asuntos Exteriores), Siria (incluido el Ministerio de Electricidad) y Yemen (incluidos los Ministerios del Interior y de Finanzas); a proveedores de servicios de Internet de Yemen y Siria; y a empresas de tecnología aeroespacial y militar de Italia y Sudáfrica. Los atacantes también crearon un sitio web que imitaba una feria médica en Alemania.
Un ataque de tipo watering hole compromete sitios web que podrían ser visitados por objetivos de interés, abriendo así la puerta a la infección del equipo de un visitante de esa web. En esta campaña, visitantes específicos de estas webs fueron probablemente atacados a través de un exploit mediante el navegador. Sin embargo, los investigadores de ESET no pudieron conseguir ni el exploit ni el payload final, lo que demuestra que los autores de la campaña habrían optado por limitar el alcance de sus operaciones y no querían “quemar” sus exploits de día cero. Esto pone en evidencia lo altamente dirigida que es la campaña en cuestión, en la que los sitios web comprometidos solo se utilizan como punto de partida para alcanzar los objetivos finales.
«Ya en 2018, desarrollamos un sistema interno personalizado para descubrir watering holes en sitios web de alto perfil. El 11 de julio de 2020, nuestro sistema nos notificó que el sitio web de la embajada iraní en Abu Dhabi había sido comprometido con código JavaScript malicioso. Nuestra curiosidad se despertó por el alto perfil de la web atacada, y en las semanas siguientes nos dimos cuenta de que otros sitios web con conexiones a Oriente Medio también habían sufrido ataques», afirma el investigador de ESET Matthieu Faou, que fue quien descubrió las campañas de watering hole.
«El grupo de cibercriminales permaneció sin actuar hasta enero de 2021, cuando observamos una nueva ola de ataques. Esta segunda ola duró hasta agosto de 2021, cuando todos los sitios web fueron limpiados de nuevo, igual que en 2020 – probablemente por los propios autores de la campaña», añade.
«Los atacantes también imitaron un sitio web perteneciente a la feria MEDICA del Foro Mundial de la Medicina, celebrada en Düsseldorf (Alemania). Los mismos clonaron el sitio web original y añadieron un pequeño fragmento de código JavaScript. Probablemente, los atacantes no consiguieron comprometer el sitio web legítimo y, por ello, tuvieron que crear uno falso para inyectar su código malicioso», afirma Faou.
Durante la campaña de 2020, el malware hizo un chequeo del sistema operativo y del navegador web. Debido a que el proceso de selección estaba basado en el software del ordenador, la campaña no se dirigía a los dispositivos móviles. En la segunda oleada, con el fin de ser un poco más sigilosos, los atacantes empezaron a modificar los scripts que ya se encontraban en los sitios web comprometidos.
«En un post sobre Candiru, realizado por el Citizen Lab de la Universidad de Toronto, la sección llamada «¿Un grupo vinculado a Arabia Saudí?» menciona un documento usado en un phishing dirigido que se había subido a VirusTotal y a múltiples dominios operados por los atacantes. Los nombres de dominio son variaciones de acortadores de URL genuinos y de sitios web de análisis, que es la misma técnica utilizada para los dominios que se ven en los ataques de watering hole», explica Faou, vinculando los ataques a Candiru.
Por tanto, es muy probable que los ejecutores de las campañas de watering hole en cuestión sean clientes de Candiru. Los creadores de los documentos y aquellos que operan los watering holes también son potencialmente los mismos. Candiru es una empresa privada israelí de software espía que ha sido recientemente incluida en la lista negra del Departamento de Comercio de Estados Unidos, lo que impediría que cualquier organización con sede en Estados Unidos haga negocios con Candiru sin obtener primero una licencia del Departamento de Comercio.
ESET dejó de ver actividad ligada a esta operación a finales de julio de 2021, poco después de la publicación de posts por Citizen Lab, Google y Microsoft detallando las actividades de Candiru. Parece que los ejecutores de los ataques han decidido hacer una pausa, probablemente para reequipar su campaña y hacer que sea aun más sigilosa. Los expertos de ESET Research esperan que los ataques se reanuden en los próximos meses.
Para obtener más detalles técnicos sobre estos ataques contra sitios web en Oriente Medio, lee el post «Compromiso de sitios web estratégicos de alto perfil en Medio Oriente» en WeLiveSecurity.