Neuigkeiten / Berichte / Bild + Videoinformationen

Spionagesoftware einer israelischen Firma wird mit Angriffen in Großbritannien und im Nahen Osten in Verbindung gebracht

.

Forscher haben neue Beweise gefunden, die darauf hindeuten, dass Spionagesoftware eines israelischen Unternehmens, das kürzlich in den USA auf die schwarze Liste gesetzt wurde, eingesetzt wurde, um Kritiker Saudi-Arabiens und anderer autokratischer Regime ins Visier zu nehmen, darunter auch einige Leser einer in London ansässigen Nachrichten-Website.

Ein Bericht von Forschern des slowakischen Internet-Sicherheitsunternehmens Eset mit Sitz in Montreal stellte Verbindungen zwischen Angriffen auf hochrangige Websites im Nahen Osten und im Vereinigten Königreich und dem israelischen Unternehmen Candiru fest, das als Israels „geheimnisvollste Cyberwarfare-Firma“ bezeichnet wurde.

Candiru und die NSO Group, ein weitaus bekannteres israelisches Überwachungsunternehmen, wurden beide in diesem Monat auf eine schwarze Liste der USA gesetzt, nachdem die Regierung Biden den seltenen Schritt unternommen hatte, die Firmen zu beschuldigen, gegen die nationalen Sicherheitsinteressen der USA zu handeln.
Anzeige

Der Eset-Bericht enthüllte neue Informationen über so genannte „Watering Hole“-Angriffe. Bei solchen Angriffen starten Spyware-Benutzer Malware gegen gewöhnliche Websites, von denen bekannt ist, dass sie Leser oder Benutzer anziehen, die vom Benutzer der Malware als „interessante Ziele“ betrachtet werden.

Die ausgeklügelten Angriffe ermöglichen es dem Malware-Benutzer, Merkmale der Personen zu identifizieren, die die Website besucht haben, einschließlich der Art des Browsers und des Betriebssystems, das sie verwenden. In einigen Fällen kann der Malware-Anwender dann einen Exploit starten, der es ihm ermöglicht, den Computer eines einzelnen Ziels zu übernehmen.

Im Gegensatz zur Spyware der NSO Group, die den Namen Pegasus trägt und Mobiltelefone infiziert, gehen die Forscher davon aus, dass die Malware von Candiru Computer infiziert. Das Unternehmen scheint nach einem parasitären Süßwasserwels benannt zu sein, der im Amazonasgebiet vorkommt.

Die Forscher fanden heraus, dass zu den Websites, die „bekannte Ziele“ dieser Art von Angriffen waren, Middle East Eye, eine in London ansässige Nachrichtenwebsite, sowie mehrere Websites, die mit Regierungsministerien im Iran und im Jemen verbunden sind, gehörten.

Middle East Eye verurteilte die Angriffe. In einer Erklärung sagte der Chefredakteur David Hearst, dass die Website nicht zum ersten Mal von staatlichen und nichtstaatlichen Akteuren angegriffen wurde.

 

„Es wurden beträchtliche Geldsummen ausgegeben, um uns auszuschalten. Das hat uns aber nicht davon abgehalten, über die Geschehnisse in der Region zu berichten, und ich bin zuversichtlich, dass sie uns auch in Zukunft nicht aufhalten werden“, sagte er.

Sobald Websites kompromittiert sind, so die Eset-Forscher, gelten sie als „Absprungstellen“, die Malware-Benutzern helfen, Einzelpersonen anzusprechen. Mit anderen Worten, nicht jede Person, die eine der kompromittierten Websites besucht hat, war in Gefahr, gehackt zu werden. Es wird jedoch angenommen, dass die Benutzer der Malware die Websites als Ausgangspunkt verwendet haben, um eine viel kleinere Gruppe von Personen zu identifizieren, die dann ins Visier genommen wurden.

Matthew Faou, der die Kampagnen aufdeckte, sagte, dass Eset im Jahr 2018 ein eigenes System entwickelt hat, um „Wasserlöcher“ auf hochkarätigen Websites aufzudecken. Im Juli 2020 meldete das System, dass eine Website der iranischen Botschaft in Abu Dhabi mit bösartigem Code verseucht worden war.

 

„Unsere Neugierde wurde durch die Bekanntheit der betroffenen Website geweckt, und in den folgenden Wochen stellten wir fest, dass auch andere Websites mit Verbindungen in den Nahen Osten betroffen waren“, so Faou.

 

Die „Bedrohungsgruppe“ wurde dann „still“, bis sie im Januar 2021 wieder auftauchte und bis zum Spätsommer 2021 aktiv war, als alle Websites, die Opfer von Angriffen geworden waren, „gesäubert“ wurden, so Eset.

Eset geht davon aus, dass die Hacking-Aktivitäten Ende Juli 2021 beendet wurden, nachdem ein Bericht der Forscher von Citizen Lab, der in Zusammenarbeit mit Microsoft veröffentlicht wurde, die angeblichen Überwachungsaktivitäten von Candiru detailliert beschrieben hat. In diesem Bericht wurde Candiru beschuldigt, Spyware an Regierungen zu verkaufen, die mit gefälschten Black Lives Matter- und Amnesty International-Websites verbunden waren, die zum Hacken von Zielen verwendet wurden.

In dem Bericht vom Juli 2021 erklärte Citizen Lab, eine mit der Universität Toronto verbundene Forschungsgruppe, dass das in Tel Aviv ansässige Unternehmen Candiru Spyware herstellt, die nicht zurückverfolgt werden kann und Computer und Telefone infizieren kann.

Damals lehnte Candiru eine Stellungnahme ab.

 

Microsoft erklärte im Juli, es habe den Anschein, dass Candiru die Spyware verkaufte, die die Hacks ermöglichte, und dass die Regierungen in der Regel auswählten, wen sie ins Visier nahmen und die Operationen selbst durchführten. Das Unternehmen gab damals auch bekannt, dass es die „Cyberwaffen“ von Candiru deaktiviert und Schutzmaßnahmen gegen die Malware entwickelt hatte, einschließlich der Herausgabe eines Windows-Software-Updates.

 

Quelle