經(jīng)歷了持續(xù)一年多的追蹤，網(wǎng)絡(luò)安全研究人員終于摸清了“中東之眼”新聞網(wǎng)站入侵事件的來龍去脈。由 ESET 周二發(fā)布的報(bào)告可知，一群黑客入侵了總部位于倫敦的這家熱門新聞網(wǎng)站。這家網(wǎng)站著眼于中東地區(qū)的新聞報(bào)道，而攻擊者的最終目標(biāo)卻是網(wǎng)站訪客。

伊朗駐阿布扎比大使館網(wǎng)站的腳本注入

據(jù)悉，這輪黑客活動一直從 2020 年 3 月活躍到 2021 年 8 月，期間波及大約 20 個(gè)網(wǎng)站，同時(shí)導(dǎo)致不少訪客中招。

具體說來是，攻擊者利用了所謂的“水坑攻擊”（watering hole attacks）—— 借道合法網(wǎng)站，來瞄準(zhǔn)它們的目標(biāo)。

換言之，網(wǎng)站本身沒有受到太大的破壞，但卻讓特定的訪問者陷入了危險(xiǎn)之中。

（圖 via TechTarget）

ESET 研究員 Matthieu Faou 在接受 Motherboard 電話采訪時(shí)稱，他們一直沒能摸清攻擊者的最終有效載荷，顯得它們在選擇攻擊目標(biāo)時(shí)非常謹(jǐn)慎。

此外伊朗、敘利亞、也門等多國政府網(wǎng)站、一家位于意大利的航空航天企業(yè)、以及南非政府旗下的某國防集團(tuán)站點(diǎn) —— 它們都與“中東之眼”攻擊事件有千絲萬縷的聯(lián)系。

ESET 推測，黑客可能是來自以色列的間諜軟件供應(yīng)商 Candiru 的一位客戶，該公司已于早些時(shí)候被美國政府列入了黑名單。

Medica Trade Fair 克隆站點(diǎn)

作為業(yè)內(nèi)最神秘的間諜軟件供應(yīng)商之一，Candiru 并無所謂的官網(wǎng)，且據(jù)說已多次變更名稱。

不過由以色列《國土報(bào)》分享的一份文件可知，該公司“致力于提供滲透 PC 計(jì)算機(jī)、網(wǎng)絡(luò)、手機(jī)的高端網(wǎng)絡(luò)情報(bào)平臺”。

在以色列紙媒于 2019 年首次曝光了 Candiru 的存在之后，包括卡巴斯基、微軟、Google、Citizen Lab 在內(nèi)的多家網(wǎng)絡(luò)安全公司，紛紛對它的惡意軟件展開了持續(xù)追蹤。

FingerprintJS 主頁

當(dāng) Motherboard 與“中東之眼”取得聯(lián)系人，該網(wǎng)站數(shù)字開發(fā)負(fù)責(zé)人 Mahmoud Bondok 表示他們剛剛意識到這一切，同時(shí)在周二發(fā)布的一份新聞中對攻擊事件予以譴責(zé)。

Matthieu Faou 表示，其計(jì)劃于華盛頓特區(qū)舉辦的 CYBERWARCON 會議上展示更多發(fā)現(xiàn)。遺憾的是，盡管他嘗試聯(lián)系某些受影響的站點(diǎn)，但卻遲遲沒能收到任何答復(fù)。

雖然這些站點(diǎn)看起來都沒有收到損害，但目前也不清楚是否相關(guān)網(wǎng)站已經(jīng)逮住了黑客并刪除了惡意代碼，還是黑客自己動手清理了蛛絲馬跡。

（舉報(bào)）