ESET Research découvre des attaques dites de « point d’eau » sur des sites web du Moyen-Orient, en lien avec Candiru

ESET révèle l’étude d’une campagne visant à compromettre les sites web de médias, de gouvernements, de fournisseurs d’accès Internet et d’entreprises de technologie aérospatiale/militaire, ayant des liens avec le Moyen-Orient et en particulier sur le Yémen et le conflit qui l’entoure.

• Les cibles situées au Moyen-Orient : Iran, Arabie Saoudite, Syrie, Yémen. En Europe : Italie, Royaume-Uni. Et en Afrique du Sud. Les attaquants ont également créé un site web imitant un salon professionnel dans le domaine médical en Allemagne.

• La campagne est étroitement liée à Candiru, une société israélienne qui vend des services et des logiciels offensifs à des agences gouvernementales, récemment inscrite sur la liste noire du ministère américain du commerce.

Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont découvert des attaques dites de « point d’eau » contre des sites web de premier plan au Moyen-Orient, et plus particulièrement le Yémen. Ces attaques sont liées à Candiru, une société qui vend des services et des outils logiciels offensifs de pointe à des agences gouvernementales. Les sites web visés appartiennent à des médias du Royaume-Uni, du Yémen et d’Arabie saoudite, ainsi qu’au Hezbollah, à des institutions gouvernementales d’Iran (ministère des Affaires étrangères), de Syrie (y compris le ministère de l’Électricité) et du Yémen (y compris les ministères de l’Intérieur et des Finances), à des fournisseurs d’accès Internet du Yémen et de Syrie, et à des entreprises de technologie aérospatiale/militaire d’Italie et d’Afrique du Sud. Les agresseurs ont également créé un site web imitant un salon professionnel dans le domaine médical en Allemagne.

Une attaque dite de « point d’eau » compromet les sites web susceptibles d’être consultés par des cibles d’intérêt, afin d’infecter les machines des visiteurs des sites web. Dans cette campagne, des visiteurs spécifiques de ces sites web ont probablement été attaqués via l’exploitation d’une vulnérabilité d’un navigateur. Les chercheurs d’ESET n’ont cependant pas pu déterminer la vulnérabilité ni obtenir le malware final. Cela montre que les criminels ont choisi de restreindre la portée de leurs activités afin de ne pas risquer la découverte de la vulnérabilité « zero-day », et que cette campagne est hautement ciblée. Les sites web compromis ne sont que les points de départ pour atteindre les cibles finales.

« En 2018, nous avons développé un système interne personnalisé pour découvrir des points d’eau sur des sites web très connus. Le 11 juillet 2020, notre système nous a signalé que le site web de l’ambassade d’Iran à Abu Dhabi avait été infecté par un code JavaScript malveillant. Notre curiosité a été éveillée par la nature du site web visé, et dans les semaines qui ont suivi, nous avons remarqué que d’autres sites web ayant des liens avec le Moyen-Orient ont également été visés, » explique Matthieu Faou, le chercheur d’ESET qui a découvert les campagnes.

« Le groupe de pirates s’est tu jusqu’en janvier 2021, lorsque nous avons observé une nouvelle vague d’infections. Cette seconde vague a duré jusqu’en août 2021, date à laquelle tous les sites web ont été nettoyés comme en 2020 ; probablement par les auteurs eux-mêmes, » ajoute-t-il.

« Les pirates ont également imité un site web appartenant au salon professionnel MEDICA du Forum mondial de la médecine, qui se tient à Düsseldorf en Allemagne. Les opérateurs ont cloné le site web d’origine et ont ajouté un petit bout de code JavaScript. Il est probable qu’ils n’aient pas réussi à compromettre le site web légitime, et qu’ils ont dû en créer un faux afin d’injecter leur code malveillant, » poursuit M. Faou.

Pendant la campagne de 2020, le malware a vérifié le système d’exploitation et le navigateur web. Le processus de sélection s’intéressait à des logiciels sur des postes ; la campagne ne visait pas les appareils mobiles. Dans la seconde vague, afin d’être un peu plus furtifs, les pirates ont commencé à modifier les scripts qui se trouvaient déjà sur les sites web compromis.

Dans un article sur Candiru publié par le Citizen Lab de l’Université de Toronto, la section intitulée « Un groupe lié à l’Arabie saoudite ? »” mentionne un document d’hameçonnage transmis à VirusTotal et plusieurs domaines exploités par les pirates. Les noms de domaine sont des variantes de raccourcisseurs d’URL authentiques et de sites web d’analytique, ce qui est la même technique que celle utilisée pour les domaines observés dans ces attaques de point d’eau, » explique M. Faou, qui établit un lien entre celles-ci et Candiru.

Il est donc fortement possible que les opérateurs des campagnes de point d’eau soient des clients de Candiru. Les créateurs du document et les exploitants des points d’eau sont également potentiellement les mêmes. Candiru est une société privée israélienne spécialisée dans les logiciels espions, qui a récemment été ajoutée à la liste des entités du ministère américain du commerce. Cela peut empêcher toute entreprise basée aux États-Unis de faire des affaires avec Candiru sans avoir obtenu au préalable une licence auprès du ministère du commerce.

ESET n’a plus détecté d’activité de cette campagne à la fin du mois de juillet 2021, peu après la publication d’articles du Citizen Lab, de Google et de Microsoft détaillant les activités de Candiru. Les opérateurs semblent faire une pause, probablement pour modifier leurs outils et rendre leur campagne plus furtive. ESET Research s’attend à ce qu’ils réapparaissent dans les mois à venir.

Pour plus de détails techniques sur ces attaques dites de « point d’eau » contre des sites web au Moyen-Orient, lisez l’article « Strategic web compromise in the Middle East with a pinch of Candiru » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.

CONTACTS PRESSE

Darina SANTAMARIA : +33 01 86 27 00 39 – [email protected]

Ines KHELIFI : +33 01 55 89 29 30 – [email protected]