イスラエルのスパイウェア開発企業「Candiru」が多数のウェブサイトに不正な変更を加えていた可能性が浮上

攻撃対象者が閲覧しそうなウェブサイトに不正アクセスして変更を加えておき、対象者がアクセスした際に攻撃を発動させる「水飲み場型攻撃」と呼ばれるサイバー攻撃手法が存在しています。イスラエルのスパイウェア開発企業・Candiruが、この水飲み場型攻撃を用いて大規模な攻撃を実行していた可能性が報告されました。

Strategic web compromises in the Middle East with a pinch of Candiru | WeLiveSecurity
https://www.welivesecurity.com/2021/11/16/strategic-web-compromises-middle-east-pinch-candiru/

Hackers Compromised Middle East Eye News Website to Hack Visitors, Researchers Say
https://www.vice.com/en/article/pkpbdm/hackers-compromised-middle-east-eye-news-website-to-hack-visitors-researchers-say

Candiruはイスラエル国防軍の諜報部隊組織・8200部隊の元メンバーで構成されていると言われている企業で、Windowsのゼロデイ脆弱性を突くマルウェア「DevilsTongue」を開発した可能性が指摘されています。この疑惑を受けて、Candiruは2021年11月にアメリカ政府によってブラックリストに登録されています。

Windowsのゼロデイ脆弱性を突くマルウェア「DevilsTongue」をイスラエルの民間企業が開発した可能性があるとMicrosoftが発表 - GIGAZINE

このCandiruが関与しているとされる水飲み場型攻撃は、ESETの研究チームによる水飲み場型攻撃検知作業の一環で発見されました。研究チームによると、「イラン・シリア・イエメンの政府機関のウェブサイト」「イタリアの航空宇宙企業のウェブサイト」「南アフリカ政府が所有する防衛関連のウェブサイト」などの中東地域に関連を持つ約20件のウェブサイトが、2020年3月～2021年8月の間に不正な変更を加えられていたとのこと。この変更によって接続された攻撃用のC＆Cサーバーは、Candiruが過去に使用していたサーバーと一致していたことから、研究チームは一連の水飲み場型攻撃にCandiru製のツールが使われていたと結論付けています。

ESETのマシュー・ファウ氏によると、攻撃の詳細なデータを取得できなかったため、攻撃のターゲットが誰であったかは不明とのこと。また、記事作成時点ではウェブサイトへの変更が元通りになっていますが、ウェブサイトの所有者が悪意のあるコードを削除したのか、ハッカーが攻撃の証拠を隠すために削除したのかは不明とされています。

変更が加えられたウェブサイトの1つであるイギリスのニュースサイト「Middle East Eye」は今回発覚した攻撃に関する記事を公開し、「私たちは、攻撃に関与した可能性があると思われる当事者に対して、法的措置を模索しています。今回の攻撃は、報道の自由の将来に深刻な結果をもたらす可能性があります。現時点では、今回の攻撃によって、私たちの中東に関する独創的で質の高い報道に関する能力が損なわれていないことを確信しています」と述べています。

Candiru: Israeli spyware, blacklisted by US, ‘suspected’ in attack on Middle East Eye | Middle East Eye
https://www.middleeasteye.net/news/candiru-israel-spyware-suspected-attack-middle-east-eye

一方で、Candiruのメンバーは今回発覚した水飲み場型攻撃について「私たちは、クライアントがCandiruのツールをどのように使用しているか、または誰をターゲットにしているかを知ることはできません」「私たちは製品を政府機関にのみ販売しています。CandiruおよびCandiruの製品はウェブサイトをハッキングしていません」と述べ、関与を否定しています。