Anzeige

Watering-Hole-Angriffe Candiru

Die Forscher des europäischen IT-Sicherheitsherstellers ESET haben strategische Angriffe auf die Webseiten von Medien, Regierungen, Internet-Service-Providern und Luftfahrt- und Rüstungsunternehmen aufgedeckt.

Im Fokus stehen nach aktuellen Erkenntnissen Organisationen in Ländern des Nahen Ostens bzw. mit Verbindungen dorthin. Betroffen sind der Iran, Saudi-Arabien, Syrien, Italien, Großbritannien, Südafrika und schwerpunktmäßig der Jemen. Auch Deutschland geriet ins Visier der Cyber-Spione: Die Angreifer fälschten die Webseite der in Düsseldorf beheimateten Medizinmesse Medica. Die Hacker-Kampagne steht möglicherweise im engen Zusammenhang mit Candiru, einem israelischen Hersteller von Spionagesoftware. Das US-Handelsministerium hatte das Unternehmen bereits Anfang November 2021 auf eine schwarze Liste gesetzt, weil sie hochmoderne Angriffssoftware und Dienstleistungen an Regierungsbehörden verkauft.

Die Bandbreite der angegriffenen Webseiten ist beträchtlich:

  • Medien im Vereinigten Königreich, im Jemen und in Saudi-Arabien sowie zur Hisbollah
  • Regierungsinstitutionen im Iran (Außenministerium), in Syrien (u. a. Elektrizitätsministerium) und im Jemen (u. a. Innen- und Finanzministerium)
  • Internetdienstanbieter im Jemen und in Syrien
  • Luft- und Raumfahrt-/Militärtechnikunternehmen in Italien und Südafrika
  • Medizinische Fachmesse in Deutschland

Höchste Geheimhaltung bei Watering-Hole-Angriffen

Zum Einsatz kamen dabei sogenannte "Watering-Hole-Angriffe", die sich ganz gezielt an Internetnutzer einer bestimmten Branche oder Funktion richten. Dabei identifizieren Cyberkriminelle jene Internetseiten, die von den Opfern häufig besucht werden. Das Ziel ist die Infektion der Webseite mit Malware und darüber hinaus der Rechner jener Zielpersonen. Bei dieser entdeckten Kampagne wurden bestimmte Besucher der Webseiten wahrscheinlich über einen Browser-Exploit angegriffen. Dies geschah höchst zielgerichtet und unter minimalem Einsatz von Zero-Day-Exploits. Offensichtlich arbeiteten die Akteure höchst fokussiert und um Eingrenzung der Operationen bemüht. Sie wollten wohl vermeiden, dass ihre Aktionen irgendwie bekannt werden. Anders lässt sich kaum erklären, dass ESET weder Exploits noch Payloads entdecken konnte.

ESET-Schwachstellen-System schlug schon 2020 Alarm

"Im Jahr 2018 haben wir ein benutzerdefiniertes internes System entwickelt, um Schwachstellen auf hochkarätigen Websites aufzudecken. Am 11. Juli 2020 meldete uns unser System, dass die Website der iranischen Botschaft in Abu Dhabi mit bösartigem JavaScript-Code verseucht wurde. Unsere Neugierde war geweckt, da es sich um eine Regierungs-Website handelte. In den folgenden Wochen stellten wir fest, dass auch andere Websites mit Verbindungen in den Nahen Osten angegriffen wurden", sagt ESET-Forscher Matthieu Faou, der die Watering Hole-Kampagnen aufdeckte.

Während der Kampagne 2020 überprüfte der verwendete Schadcode das Betriebssystem und den eingesetzten Webbrowser. Angegriffen wurden hierbei ausschließlich stationäre Computersysteme und Server. In der zweiten Welle begannen die Angreifer Skripte zu modifizieren, die sich bereits auf den kompromittierten Webseiten befanden. So konnten die Angreifer unbemerkt agieren. "Nach einer länger anhaltendenden Pause, die bis Januar 2021 andauerte, konnten wir neue Angriffskampagnen verzeichnen. Diese zweite Welle dauerte bis August 2021 an", fügt Faou hinzu.

MEDICA in Düsseldorf wurde ebenfalls angegriffen

Die Angreifer waren auch in Deutschland aktiv und fälschten eine zur MEDICA-Messe ("World Forum for Medicine") gehörende Webseite. Dabei klonten sie die Original-Website und fügten ein kleines Stück JavaScript-Code hinzu. Es ist wahrscheinlich, dass die Angreifer die legitime Internetseite nicht kompromittieren konnten. So waren sie gezwungen, eine gefälschte Website einzurichten, um den bösartigen Code einzuschleusen.

Israelische Spywarefirma Candiru im Zwielicht

In einem Blogpost von Citizen Lab an der Universität Toronto über die israelische Firma Candiru wird im Abschnitt "A Saudi-Linked Cluster?" über ein Spearphishing-Dokument berichtet, das auf VirusTotal hochgeladen wurde. Ebenfalls erwähnt wurden mehrere von den Angreifern betriebene Domains. Bei den Domänennamen handelt es sich um Variationen echter URL-Shortener und Webanalyse-Webseiten. "Es handelt sich also um dieselbe Technik, die auch für die Domänen bei den Watering-Hole-Angriffen verwendet wird", erklärt der ESET-Forscher und stellt eine Verbindung zwischen den Angriffen und Candiru her.

Es gilt als nicht unwahrscheinlich, dass die Betreiber der Watering-Hole-Kampagnen Kunden von Candiru sein könnten. Das israelische Spionageunternehmen wurde kürzlich in die Entity List des US-Handelsministeriums aufgenommen. Dies kann jede in den USA ansässige Organisation daran hindern, mit Candiru Geschäfte zu machen, ohne zuvor eine Lizenz des Handelsministeriums einzuholen.

Aktueller Stand

Die Hintermänner der Watering-Hole-Attacken scheinen aktuell eine Pause einzulegen. Möglicherweise nutzen sie die Zeit, um ihre Kampagne umzurüsten und unauffälliger zu gestalten. ESET-Sicherheitsforscher gehen davon aus, dass sie in den kommenden Monaten wieder aktiv werden. Weitere technische Details zu diesen Watering Hole-Angriffen auf Websites im Nahen Osten finden Sie im Blogpost "Watering-Hole-Angriffe im Nahen Osten" auf WeLiveSecurity.de.

Weitere Informationen:

Technische Details veröffentlichten die ESET-Sicherheitsforscher hier.

www.eset.com/de
 


Artikel zu diesem Thema

Spyware
Nov 11, 2021

Neue Spionagesoftware PhoneSpy befällt Android-Smartphones

Zimperium, Sicherheitsexperte für Echtzeitschutz auf Mobilgeräten, hat die neue…
Spyware
Sep 23, 2021

Der erste Pegasus-Check: Ist die Spyware auf Ihren Devices?

Wie kürzlich bekannt wurde, hat sich die Spionagesoftware „Pegasus“ weltweit unbemerkt…
Haie und Boot
Apr 01, 2020

Watering-Hole-Attacke „Holy Water” identifiziert

Kaspersky-Forscher haben mit ‚Holy Water‘ eine Watering-Hole-Attacke identifiziert, die…

Weitere Artikel

Ransomware 2.0

Schnelle Fortschritte bei Ransomware 2.0

Neue Techniken und Strategien machen Ransomware-Angriffe immer gefährlicher. Während herkömmliche Ransomware darauf abzielte, sich zu verbreiten und so viele Endgeräte wie möglich zu verschlüsseln, werden bei Ransomware 2.0-Angriffen fortschrittliche Methoden…
Linux

CronRat: Linux-Malware versteckt sich im Kalender

CronRat ist ein neuer Linux-Trojaner, der sich in den geplanten Aufgaben versteckt. Das Ausführungsdatum am 31. Februar ist natürlich ungültig, trotzdem entdecken ihn viele Sicherheitsprogramme nicht.
2022 KI

IT-Security-Trends 2022: KI macht Cyberangriffe gefährlicher

Cyberkriminalität steigt auch 2022 weiter an. Angreifer nutzen dabei konsequent jede Schwachstelle aus. Um ihre Ziele zu erreichen, setzen sie auf Multi-Ransomware-Angriffe und verwenden Künstliche Intelligenz (KI), mit der sie besseren Schadcode herstellen.
Phishing

Phishing-Kampagnen: Webseiten von Sparkasse und Volksbank werden imitiert

Die Security-Experten von Proofpoint haben eine Zunahme von Phishing-Kampagnen registriert, bei denen deutsche Bankkunden ins Visier der Cyberkriminellen geraten.
Geschenkkarten

Achtung: Drei Betrugsmethoden mit Geschenkkarten

Vor der Haupteinkaufszeit zu Weihnachten warnt Malwarebytes vor den Gefahren, die mit Geschenkkarten verbunden sind. Verbraucher müssen vor allem auf drei Betrugsmethoden mit Geschenkkarten achten, um Cyberkriminellen nicht in die Falle zu gehen.
Phishing

Spear-Phishing-Kampagnen mit gefälschten Kundenbeschwerden

Eine Spear-Phishing-Kampagne versendet gefälschte „Kundenbeschwerden“, die einen Link zu einer bösartigen Website enthalten, wie Paul Ducklin von Sophos eigenem IT-Security Blog Naked Security beschreibt.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.