Sommario
Recentemente, almeno otto siti web associati alle compagnie di spedizione, logistica e servizi finanziari in Israele sono stati presi di mira da un attacco di tipo “watering hole”. Secondo la società di cybersecurity di Tel Aviv, ClearSky, gli attacchi possono essere attribuiti con una bassa confidenza a un attore di minaccia iraniano tracciato come Tortoiseshell, noto anche come Crimson Sandstorm (precedentemente Curium), Imperial Kitten, e TA456.
Metodologia degli attacchi
“I siti infetti raccolgono informazioni preliminari sull’utente attraverso uno script”, ha riferito ClearSky in un rapporto tecnico pubblicato martedì. La maggior parte dei siti web colpiti sono stati ripuliti dal codice malevolo. Tortoiseshell è attivo almeno dal luglio 2018, con i primi attacchi rivolti ai fornitori di IT in Arabia Saudita. È stato anche osservato nella creazione di falsi siti web di reclutamento per i veterani militari statunitensi, nel tentativo di indurli a scaricare trojan di accesso remoto.
Gli attacchi “watering hole” e le tecniche utilizzate
Questo non è la prima volta che gruppi di attività iraniani puntano al settore della spedizione israeliano con attacchi “watering hole”. Il metodo di attacco, conosciuto anche come compromissione strategica del sito web, funziona infettando un sito web noto per essere comunemente visitato da un gruppo di utenti o da quelli all’interno di un’industria specifica per consentire la distribuzione di malware.
Nuovi strumenti e strategie adottate
Gli ultimi attacchi documentati da ClearSky mostrano che il JavaScript malevolo iniettato nei siti web funziona in modo simile, raccogliendo informazioni sul sistema e inviandole a un server remoto. Inoltre, gli attacchi fanno uso di un dominio chiamato jquery-stack[.]online per il comando e il controllo (C2). L’obiettivo è quello di volare sotto il radar, imitando il legittimo framework JavaScript jQuery.
Implicazioni geopolitiche
Questa ondata di attacchi coincide con il fatto che Israele continua ad essere il bersaglio più prominente per le squadre sponsorizzate dallo stato iraniano. Microsoft, all’inizio di questo mese, ha sottolineato il loro nuovo approccio di combinare “operazioni cibernetiche offensive con operazioni d’influenza multi-pronged per alimentare il cambiamento geopolitico in linea con gli obiettivi del regime.”
