Los investigadores de la compañía de ciberseguridad ESET han descubierto una serie de ataques estratégicos contra sitios web de alto perfil en Oriente Medio, con un fuerte foco en Yemen. Los ataques están vinculados a Candiru, una empresa privada israelí de software espía que ha sido recientemente incluida en la lista negra del Departamento de Comercio de Estados Unidos.

Los sitios web atacados pertenecen a medios de comunicación del Reino Unido, Yemen y Arabia Saudí, así como a Hezbolá; a instituciones gubernamentales de Irán (Ministerio de Asuntos Exteriores), Siria (incluido el Ministerio de Electricidad) y Yemen (incluidos los Ministerios del Interior y de Finanzas); a proveedores de servicios de Internet de Yemen y Siria; y a empresas de tecnología aeroespacial y militar de Italia y Sudáfrica. Los atacantes también crearon un sitio web que imitaba una feria médica en Alemania.

Un ataque de tipo watering hole compromete sitios web que podrían ser visitados por objetivos de interés, abriendo así la puerta a la infección del equipo de un visitante de esa web. En esta campaña, visitantes específicos de estas webs fueron probablemente atacados a través de un exploit mediante el navegador.

Sin embargo, los investigadores de ESET no pudieron conseguir ni el exploit ni el payload final, lo que demuestra que los autores de la campaña habrían optado por limitar el alcance de sus operaciones y no querían “quemar” sus exploits de día cero. Esto pone en evidencia lo altamente dirigida que es la campaña en cuestión, en la que los sitios web comprometidos solo se utilizan como punto de partida para alcanzar los objetivos finales.

«Ya en 2018, desarrollamos un sistema interno personalizado para descubrir watering holes en sitios web de alto perfil. El 11 de julio de 2020, nuestro sistema nos notificó que el sitio web de la embajada iraní en Abu Dhabi había sido comprometido con código JavaScript malicioso. Nuestra curiosidad se despertó por el alto perfil de la web atacada, y en las semanas siguientes nos dimos cuenta de que otros sitios web con conexiones a Oriente Medio también habían sufrido ataques», afirma el investigador de ESET Matthieu Faou, que fue quien descubrió las campañas de watering hole.

«El grupo de cibercriminales permaneció sin actuar hasta enero de 2021, cuando observamos una nueva ola de ataques. Esta segunda ola duró hasta agosto de 2021, cuando todos los sitios web fueron limpiados de nuevo, igual que en 2020 – probablemente por los propios autores de la campaña», añade.

«Los atacantes también imitaron un sitio web perteneciente a la feria MEDICA del Foro Mundial de la Medicina, celebrada en Düsseldorf (Alemania). Los mismos clonaron el sitio web original y añadieron un pequeño fragmento de código JavaScript. Probablemente, los atacantes no consiguieron comprometer el sitio web legítimo y, por ello, tuvieron que crear uno falso para inyectar su código malicioso», afirma Faou.

Durante la campaña de 2020, el malware hizo un chequeo del sistema operativo y del navegador web. Debido a que el proceso de selección estaba basado en el software del ordenador, la campaña no se dirigía a los dispositivos móviles. En la segunda oleada, con el fin de ser un poco más sigilosos, los atacantes empezaron a modificar los scripts que ya se encontraban en los sitios web comprometidos.

Es muy probable que los ejecutores de las campañas de watering hole en cuestión sean clientes de Candiru. Los creadores de los documentos y aquellos que operan los watering holes también son potencialmente los mismos.