Candiru Casus Yazılımı ile Orta Doğu'daki Web Siteleri Hedef Alınıyor

ESET, Candiru casus yazılımı ile Orta Doğu'daki web sitelerine yönelik saldırıların yapıldığını açıkladı. Araştırmacılar, Orta Doğu’daki yüksek profilli internet sitelerine yönelik stratejik web ihlali (watering hole-su kaynağı) saldırıları keşfetti.

Candiru Casus Yazılımı Nedir, Nasıl Bulaşır?

ESET araştırmacıları, bir casus yazılım ile bağlantısı olan ve Orta Doğu’daki yüksek profilli internet sitelerine yönelik stratejik web ihlali saldırılarını tespit etti. Yaşanan durumun medya, hükümet, internet hizmet sağlayıcıları, havacılık ve askeri teknoloji şirketlerinin web sitelerini hedef alan stratejik web ihlalleriyle ilgili hedefli saldırılar olduğu belirtildi.

Bu saldırıların hedefleri arasında Orta Doğu'da İran, Suudi Arabistan, Suriye, Yemen yer alırken Avrupa bölgesinde ise İngiltere ve İtalya yer alıyor. Bunların yanı sıra Güney Afrika da hedefler arasında bulunuyor.

Saldırganlar, Almanya’daki bir medikal fuarı taklit eden bir web sitesi de oluşturdu. Kampanyanın bir İsrail casus yazılım firması olan Candiru ile yakın bağlantıları bulunuyor. Bu firma, Amerika Birleşik Devletleri Ticaret Bakanlığı tarafından yakın zamanda izin verilmeyenler listesine alınmıştı.  Firmanın hükümet kurumlarına son teknoloji zararlı yazılım araçları ve hizmetleri sattığı açıklandı.

Watering hole (su kaynağı) saldırısı, ilgili hedefler tarafından ziyaret edilmesi muhtemel internet sitelerine sızar ve böylelikle web sitelerini ziyaret eden kullanıcıların cihazına girmek için bir fırsat oluşturur.

ESET araştırmacıları, suistimal veya nihai yükle ilgili herhangi bir bilgiye ulaşamadı. Bu, tehdit aktörlerinin operasyonlarının odağını daraltmayı tercih ettiğini ve sıfır gün suistimallerine zarar vermek istemediğini göstermenin yanı sıra saldırıların ne kadar yüksek seviyede hedefe yönelik olduğunu da gözler önüne seriyor.

Su kaynağı saldırılarını gün yüzüne çıkaran ESET araştırmacısı Matthieu Faou, 2018 yılında yüksek profilli web sitelerindeki su kaynağı saldırılarını açığa çıkarmak için özel bir şirket içi sistem geliştirdiklerini söyledi.

11 Temmuz 2020 tarihinde sistemin Abu Dabi’deki İran elçiliğinin web sitesinin kötü amaçlı JavaScript kodundan etkilendiğiyle ilgili uyarı verdiğini ifade eden Faou, hedef alınan web sitesinin yüksek bir profile sahip olduğunu ve sonraki haftalarda Orta Doğu ile ilgisi olan başka web sitelerinin de hedef alındığını fark ettiklerini belirtti.