„Credem că un client al Candiru a comis aceste atacuri”, cu instrumentele furnizate de societate, a explicat pentru AFP Matthieu Faou, investigatorul Eset care a efectuat ancheta.
Eset nu identifică explicit acest client, dar dă indicii care trimit spre Arabia Saudită.
Societatea de securitate cibernetică dezvăluie că serverele utilizate de atacator au nume de domenii de acelaşi tip ca acelea utilizate într-o altă campanie atribuită Arabiei Saudite de Citizen Lab, un laborator specializat al Universităţii din Toronto.
Campania descoperită de Eset este un atac de tipul „watering hole” şi a fost depistată între iulie 2020 şi august 2021.
Aceasta constă în compromiterea victimelor infectând cu un malware site-uri perfect legitime pe care aceste persoane sunt susceptibile să le frecventeze.
În acest caz concret, site-urile prinse în capcană erau site-uri ale media sau ale furnizorilor de acces la internet, site-uri guvernamentale sau ale unor companii de aeronautică militară, care prezintă o legătură cu Yemenul şi conflictul din această ţară, potrivit Eset.
Un organism media britanic (Middle East Eye), societatea italiană Piaggio Aerospace, site-uri oficiale ale statului iranian, sirian şi yemenit şi site-uri ale grupării proiraniene Hezbollah au fost de asemenea afectate.
Atacatorul a creat, de asemenea, o versiune falsă a site-ului salonului medical Medica de la Dusseldorf, în Germania, potrivit Eset.
Potrivit lui Matthieu Faou, nu este vorba despre o campanie de masă, ci de una extrem de ţintită, vizând un număr de persoane cel mai probabil „foarte foarte scăzut”.
Pe 4 noiembrie, Departamentul american al Comerţului a plasat pe lista sa neagră Candiru şi alte trei societăţi specializate în vânzarea de instrumente de atac informatic – grupul israelian NSO, editorul software-ului spion Pegasus, societatea rusă Positive Technologies şi cea din Singapore Computer Security Initiative Consultancy (Coseic).
Această prezenţă pe lista neagră restrânge schimburile comerciale cu societăţile desemnate, potrivit AFP.