Najmanje osam web stranica povezanih s kompanijama za transport, logistiku i finansijske usluge u Izraelu bile su na meti u sklopu napada.
Kompanija za kibernetičku bezbjednost ClearSky sa sjedištem u Tel Aviv-u pripisala je napade s malo povjerenja iranskom hakeru praćenom kao Tortoiseshell, koji se takođe naziva Crimson Sandstorm (ranije Curium), Imperial Kitten i TA456.
“Zaražene stranice prikupljaju preliminarne korisničke informacije putem skripte” rekao je ClearSky u tehničkom izvještaju objavljenom u utorak. Većina pogođenih web stranica je lišena lažnog koda.
Poznato je da je Tortoiseshell aktivan najmanje od jula 2018. godine, s ranim napadima usmjerenim na IT provajdere u Saudijskoj Arabiji. Takođe je primijećeno postavljanje lažnih web stranica za zapošljavanje vojnih veterana SAD u pokušaju da ih prevari da preuzmu trojance za daljinski pristup.
Ipak, ovo nije prvi put da su iranski klasteri aktivnosti bacili pogled na izraelski sektor pomorstva.
Metoda napada, koja se još naziva i strateški kompromisi na web stranici, djeluje tako što inficira web stranicu za koju se zna da je uobičajeno posjećuje grupa korisnika ili oni unutar određene industrije kako bi se omogućila distribucija malicioznog softvera.
U avgustu 2022. godine, iranski haker u nastajanju pod imenom UNC3890 pripisan je propustu koji se nalazi na stranici za prijavu legitimne izraelske brodarske kompanije koja je dizajnirana da prenosi preliminarne podatke o prijavljenom korisniku na domenu koju kontroliše napadač.
Najnoviji upadi koje je dokumentovao ClearSky pokazuju da maliciozni JavaScript ubrizgan u web stranice funkcioniše na sličan način, prikupljajući informacije o sistemu i šaljući ih na udaljeni server.
JavaScript kod dalje pokušava da odredi preferencije jezika korisnika, za koje ClearSky kaže da bi moglo biti “korisno napadaču da prilagodi svoj napad na osnovu jezika korisnika”.
Povrh toga, napadi koriste i domen pod nazivom jquery-stack[.]online za komandu i kontrolu (C2). Cilj je proći ispod radara imitirajući legitimni jQuery JavaScript okvir.
Razvoj događaja dolazi dok Izrael i dalje ostaje najistaknutija meta za hakere koje sponzoriše Iran. Microsoft je ranije ovog mjeseca istakao svoj novi pristup kombinovanja “ofanzivnih kibernetičkih operacija s operacijama višestrukog uticaja kako bi podstakao geopolitičke promjene u skladu s ciljevima režima”.
Izvor: The Hacker News