Các nhà nghiên cứu tại công ty bảo mật ESET phát hiện được một chiến dịch tấn công mạng mới, trong đó phần mềm gián điệp Candiru tại Tel Aviv được sử dụng để tấn công các trang web và trang cung cấp dịch vụ ở một số quốc gia Trung Đông, trong đó có Ả rập Xê út và Iran.

Candiru bán phần mềm gián điệp này cho các cơ quan chính phủ, tương tự NSO Group. Cũng tương tự như NSO, Mỹ đưa doanh nghiệp phần mềm này vào danh sách đen thương mại cùng với một công ty Nga và một doanh nghiệp ở Singapore.

 Cuộc tấn công mới sử dụng các cuộc tấn công “lỗ hổng nước”, tin tặc nhúng mã độc vào những trang web mà một tổ chức thường sử dụng và lây nhiễm phần mềm độc hại cho một hoặc nhiều trang web trong số đó. Khi khách hàng, đối tác truy cập vào những trang web này, mã độc sẽ lây nhiễm vào máy tính, điện thoại smartphone, tạo điều kiện cho những kẻ tấn công theo dõi, thu thập thông tin hoặc gây thiệt hại, tổn thất theo nhiều cách khác nhau.

Theo ESET, các trang web bị tấn công có rất nhiều, trong đó trang web tin tức Middle East Eye tại London , trang truyền thông Yemen Al-Masirah ủng hộ lực lượng kháng chiến Houthi trong cuộc chiến với Liên quân do Ả rập Xê út dẫn đấu.

Tin tặc cũng tấn công vào các trang web thuộc Bộ ngoại giao Iran, Bộ tài chính và Nội vụ Yemen, Bộ điện lực Syria, trang web của các nhà cung cấp dịch vụ Internet ở Syria và Yemen.

Các mục tiêu khác bao gồm các websites của công ty Piaggio Aerospace Ý, nhóm chiến binh Hezbollah do Iran hậu thuẫn và trang The Saudi Reality , cơ quan truyền thông bất đồng chính kiến ​​ở Ả rập Xê-út.

Theo các nhà nghiên cứu, những kẻ tấn công mạng cũng tạo ra một trang web giả, mô phỏng một hội chợ thương mại y tế ở Đức để cài đặt mã độc vào các thiết bị điện tử của khách hàng.

ESET khẳng định, những khách truy cập vào các trang web có mã độc này sẽ bị tấn công thông qua quá trình khai thác thông tin, dù chỉ mở ra để xem web.

Kỹ sư nghiên cứu IT Matthieu Faou của ESET, phát hiện các cuộc tấn công mạng bằng mã độc Candiru cho biết, ngày 11/7 năm 2020, hệ thống của ESET thông báo, trang web của đại sứ quán Iran tại Abu Dhabi bị nhiễm mã JavaScript độc hại. Từ trang web cao cấp bị nhiễm mã độc này, các chuyên gia bảo mật ESET phát hiện được, các trang web khác có liên kết đến Trung Đông cũng bị tấn công.

Từ cuối tháng 7/2021, các chuyên gia bảo mật không phát hiện thêm được các hành vi tấn công, sau khi Google, Citizen Lab và Microsoft đăng tải các bài viết trên blog, mô tả chi tiết những hoạt động của mã độc Candiru cùng thời điểm NSO Group trở thành điểm quan tâm của quốc tế.

Kỹ sư Faou cho rằng, các nhà điều hành có thể đang tạm dừng, nâng cấp mã độc và khiến các cuộc tấn công khó phát hiện hơn".

Không có nhiều thông tin về Candiru, doanh nghiệp này đã đổi tên một số lần kể từ khi thành lập năm 2014 và hiện được gọi là Saito Tech Ltd., cùng có chung một nhóm nhà đầu tư với NSO Group.

Tháng 7/2021, các chuyên gia bảo mật từ Citizen Lab và Microsoft cho biết hơn 100 nhà báo, chính trị gia, nhà hoạt động nhân quyền và nhà bất đồng chính kiến ​​ở nhiều quốc gia bị tấn công trong một chiến dịch phần mềm gián điệp, sử dụng “vũ khí mạng” mạnh mẽ do Candiru phát triển.

Citizen Lab tuyên bố, Candiru bán phần mềm gián điệp độc quyền cho các chính phủ và những nhà lãnh đạo đang ở vị trí quyền lực. Các cơ quan đặc biệt của những chính quyền này sử dụng phần mềm này lây nhiễm vào PC, Macbook, điện thoại thông minh và tài khoản điện toán đám mây. Theo CitizenLab, với 16 triệu euro (13,4 triệu bảng Anh), khách hàng của Candiru có thể xâm nhập vào một số lượng thiết bị không giới hạn, có thể chủ động theo dõi và thu thập thông tin từ 10 thiết bị của nạn nhân cùng một lúc. Thêm 1,5 triệu euro (khoảng 1,25 triệu bảng Anh), người dùng Candiru có theo dõi đến 25 nạn nhân.