Eset découvre des attaques liées à Candiru

La société israélienne, à peine placée sur la même liste noire que son comparse NSO, est confrontée aux révélations d’Eset. L’éditeur slovaque explique avoir découvert des attaques de type « watering hole » ciblant particulièrement le Yemen. Ces attaques portent la marque, selon Eset, de Candiru.

Début novembre, l’administration Biden annonçait avoir placée sur sa liste noire deux entreprises israéliennes, la tristement célèbre NSO et la moins connue Candiru. Toutes deux opèrent dans le même secteur d’activité, à savoir la fourniture de logiciels espions à des gouvernements plus ou moins recommandables. C’est par NSO que le scandale est venu, mais n’allez pas croire que Candiru fait dans l’éthique.

Les chercheurs d’Eset viennent de révéler avoir repérer des attaques de type « watering hole » contre des sites web « de premier plan » au Moyen-Orient, principalement au Yemen. Les sites visés sont ceux de médias yéménites, saoudiens et britanniques, du Hezbollah, d’organisations relevant des ministères des Affaires étrangères iranien, de l’Energie syrien ou encore de l’Intérieur et des Finances yéménites. Des FAI du Yémen et de Syrie ainsi que des entreprises du secteur de la défense italienne et sud-africaines ont également été ciblés.

Mode opératoire

Eset note que les attaquants sont allés jusqu’à créer un site web usurpant un salon professionnel dans le domaine médical en Allemagne. Ces différents sites ont été compromis, ou du moins les attaquants ont-ils tenté de les compromettre, en ce qu’ils sont susceptibles d’être consultés par des « cibles spécifiques ». Lesquelles sont infectées lors de leur visite, par le biais de l’exploitation d’une vulnérabilité de leurs navigateurs.

Du moins c’est ce que pensent les chercheurs d’Eset : ces derniers n’ont pas pu « déterminer la vulnérabilité ni obtenir le malware final ». L’éditeur slovaque relie ces compromissions à Candiru. « En 2018, nous avons développé un système interne personnalisé pour découvrir des points d'eau sur des sites web très connus. Le 11 juillet 2020, notre système nous a signalé que le site web de l'ambassade d'Iran à Abu Dhabi avait été infecté par un code JavaScript malveillant » raconte Matthieu Faou, le chercheur d'ESET qui a découvert les campagnes. « Notre curiosité a été éveillée par la nature du site web visé, et dans les semaines qui ont suivi, nous avons remarqué que d'autres sites web ayant des liens avec le Moyen-Orient ont également été visés » poursuit-il.

Sous les radars

Mais l’attaquant se fait discret par la suite, jusqu’en janvier dernier. Il déclenche alors une nouvelle vague d’infections qui dure jusqu’en août. Puis repasse sous les radars. Or, en se fondant sur les recherches du Citizen Lab de l’Université de Toronto, Eset fait le rapprochement entre le modus operandi utilisé pour cette campagne, et celui de Candiru mis au jour par le Citizen Lab.

« Il est donc fortement possible que les opérateurs des campagnes de point d'eau soient des clients de Candiru » explique le chercheur. Puis, après l’été 2021, dans la foulée des publications détaillant les activités de NSO et, moins médiatisées, de Candiru, les opérateurs de l’attaque disparaissent. « Les opérateurs semblent faire une pause, probablement pour modifier leurs outils et rendre leur campagne plus furtive. ESET Research s'attend à ce qu'ils réapparaissent dans les mois à venir » assure pourtant l’éditeur.