经过一年多的追踪,网络安全研究人员终于摸清了“中东之眼”新闻网站入侵的来龙去脉。根据ESET周二发布的一份报告,一群黑客入侵了这家位于伦敦的热门新闻网站。该网站侧重于来自中东的新闻报道,但攻击者最终以网站访问者为目标。伊朗驻阿布扎比大使馆网站脚本注入据悉,此轮黑客活动从2020年3月至2021年8月一直活跃,期间约有20个网站受到影响,并招募了多名访问者。具体来说,攻击者使用了所谓的“水坑攻击”——通过合法网站瞄准他们的目标。换句话说,网站本身并没有受到太大的损害,但它让特定的访问者处于危险之中。(图自TechTarget)ESET研究人员MatthieuFaou在接受Motherboard电话采访时表示,他们一直无法弄清楚攻击者的最终有效载荷,看来他们在选择目标时非常谨慎。此外,伊朗、叙利亚、也门等国政府网站,意大利一家航天公司,南非政府下属某防务集团网站——都与“中东之眼”袭击有着千丝万缕的联系.ESET推测黑客可能是Candiru的客户,Candiru是一家以色列间谍软件供应商,早些时候被美国政府列入黑名单。MedicaTradeFair克隆站点作为业内最隐秘的间谍软件供应商之一,Candiru没有官方网站,据说已多次更名。不过,以色列♂分享的一份文件显示,该公司“致力于提供一个贯穿PC电脑、网络和手机的高端网络智能平台”。在以色列纸媒于2019年首次曝光Candiru的存在后,包括卡巴斯基、微软、谷歌和CitizenLab在内的许多网络安全公司继续追踪其恶意软件。FingerprintJS主页当Motherboard与MiddleEastEye取得联系时,该网站的数字开发负责人MahmoudBondok表示他们刚刚意识到这一点,并在周二的新闻发布会上谴责了这次攻击。MatthieuFaou说他计划在华盛顿特区的CYBERWARCON会议上展示更多发现。不幸的是,尽管他试图联系一些受影响的站点,但他一直无法收到回复。虽然这些网站似乎都没有受到损害,但尚不清楚黑客是否被抓获并删除了恶意代码,或者黑客是否自行清除了痕迹。
