Spyware der israelischen Firma Candiru im Fokus der Ermittlungen
Watering‑Hole‑Angriffe im Nahen Osten
publiziert: Mittwoch, 17. Nov 2021 / 17:09 Uhr

Jena - Die Forscher des europäischen IT-Sicherheitsherstellers ESET haben strategische Angriffe auf die Webseiten von Medien, Regierungen, Internet-Service-Providern und Luftfahrt- und Rüstungsunternehmen aufgedeckt. Im Fokus stehen nach aktuellen Erkenntnissen Organisationen in Ländern des Nahen Ostens bzw. mit Verbindungen dorthin.
Betroffen sind der Iran, Saudi-Arabien, Syrien, Italien, Grossbritannien, Südafrika und schwerpunktmässig der Jemen. Auch Deutschland geriet ins Visier der Cyber-Spione: Die Angreifer fälschten die Webseite der in Düsseldorf beheimateten Medizinmesse Medica. Die Hacker-Kampagne steht möglicherweise im engen Zusammenhang mit Candiru, einem israelischen Hersteller von Spionagesoftware. Das US-Handelsministerium hatte das Unternehmen bereits Anfang November 2021 auf eine schwarze Liste gesetzt, weil sie hochmoderne Angriffssoftware und Dienstleistungen an Regierungsbehörden verkauft.
Die Bandbreite der angegriffenen Webseiten ist beträchtlich:
Während der Kampagne 2020 überprüfte der verwendete Schadcode das Betriebssystem und den eingesetzten Webbrowser. Angegriffen wurden hierbei ausschliesslich stationäre Computersysteme und Server. In der zweiten Welle begannen die Angreifer Skripte zu modifizieren, die sich bereits auf den kompromittierten Webseiten befanden. So konnten die Angreifer unbemerkt agieren. «Nach einer länger anhaltendenden Pause, die bis Januar 2021 andauerte, konnten wir neue Angriffskampagnen verzeichnen. Diese zweite Welle dauerte bis August 2021 an», fügt Faou hinzu.
Es gilt als nicht unwahrscheinlich, dass die Betreiber der Watering-Hole-Kampagnen Kunden von Candiru sein könnten. Das israelische Spionageunternehmen wurde kürzlich in die Entity List des US-Handelsministeriums aufgenommen. Dies kann jede in den USA ansässige Organisation daran hindern, mit Candiru Geschäfte zu machen, ohne zuvor eine Lizenz des Handelsministeriums einzuholen.
Die Bandbreite der angegriffenen Webseiten ist beträchtlich:
- Medien im Vereinigten Königreich, im Jemen und in Saudi-Arabien sowie zur Hisbollah
- Regierungsinstitutionen im Iran (Aussenministerium), in Syrien (u. a. Elektrizitätsministerium) und im Jemen (u. a. Innen- und Finanzministerium)
- Internetdienstanbieter im Jemen und in Syrien
- Luft- und Raumfahrt-/Militärtechnikunternehmen in Italien und Südafrika
- Medizinische Fachmesse in Deutschland
Höchste Geheimhaltung bei Watering-Hole-Angriffen
Zum Einsatz kamen dabei sogenannte «Watering-Hole-Angriffe» (strategische Kompromittierung von Webseiten), die sich ganz gezielt an Internetnutzer einer bestimmten Branche oder Funktion richten. Dabei identifizieren Cyberkriminelle jene Internetseiten, die von den Opfern häufig besucht werden. Das Ziel ist die Infektion der Webseite mit Malware und darüber hinaus der Rechner jener Zielpersonen. Bei dieser entdeckten Kampagne wurden bestimmte Besucher der Webseiten wahrscheinlich über einen Browser-Exploit angegriffen. Dies geschah höchst zielgerichtet und unter minimalem Einsatz von Zero-Day-Exploits. Offensichtlich arbeiteten die Akteure höchst fokussiert und um Eingrenzung der Operationen bemüht. Sie wollten wohl vermeiden, dass ihre Aktionen irgendwie bekannt werden. Anders lässt sich kaum erklären, dass ESET weder Exploits noch Payloads entdecken konnte.ESET-Schwachstellen-System schlug schon 2020 Alarm
«Im Jahr 2018 haben wir ein benutzerdefiniertes internes System entwickelt, um Schwachstellen auf hochkarätigen Websites aufzudecken. Am 11. Juli 2020 meldete uns unser System, dass die Website der iranischen Botschaft in Abu Dhabi mit bösartigem JavaScript-Code verseucht wurde. Unsere Neugierde war geweckt, da es sich um eine Regierungs-Website handelte. In den folgenden Wochen stellten wir fest, dass auch andere Websites mit Verbindungen in den Nahen Osten angegriffen wurden», sagt ESET-Forscher Matthieu Faou, der die Watering Hole-Kampagnen aufdeckte.Während der Kampagne 2020 überprüfte der verwendete Schadcode das Betriebssystem und den eingesetzten Webbrowser. Angegriffen wurden hierbei ausschliesslich stationäre Computersysteme und Server. In der zweiten Welle begannen die Angreifer Skripte zu modifizieren, die sich bereits auf den kompromittierten Webseiten befanden. So konnten die Angreifer unbemerkt agieren. «Nach einer länger anhaltendenden Pause, die bis Januar 2021 andauerte, konnten wir neue Angriffskampagnen verzeichnen. Diese zweite Welle dauerte bis August 2021 an», fügt Faou hinzu.
MEDICA in Düsseldorf wurde ebenfalls angegriffen
Die Angreifer waren auch in Deutschland aktiv und fälschten eine zur MEDICA-Messe («World Forum for Medicine») gehörende Webseite. Dabei klonten sie die Original-Website und fügten ein kleines Stück JavaScript-Code hinzu. Es ist wahrscheinlich, dass die Angreifer die legitime Internetseite nicht kompromittieren konnten. So waren sie gezwungen, eine gefälschte Website einzurichten, um den bösartigen Code einzuschleusen.Israelische Spywarefirma Candiru im Zwielicht
In einem Blogpost von Citizen Lab an der Universität Toronto über die israelische Firma Candiru wird im Abschnitt «A Saudi-Linked Cluster?» über ein Spearphishing-Dokument berichtet, das auf VirusTotal hochgeladen wurde. Ebenfalls erwähnt wurden mehrere von den Angreifern betriebene Domains. Bei den Domänennamen handelt es sich um Variationen echter URL-Shortener und Webanalyse-Webseiten. «Es handelt sich also um dieselbe Technik, die auch für die Domänen bei den Watering-Hole-Angriffen verwendet wird», erklärt der ESET-Forscher und stellt eine Verbindung zwischen den Angriffen und Candiru her.Es gilt als nicht unwahrscheinlich, dass die Betreiber der Watering-Hole-Kampagnen Kunden von Candiru sein könnten. Das israelische Spionageunternehmen wurde kürzlich in die Entity List des US-Handelsministeriums aufgenommen. Dies kann jede in den USA ansässige Organisation daran hindern, mit Candiru Geschäfte zu machen, ohne zuvor eine Lizenz des Handelsministeriums einzuholen.
Aktueller Stand
Die Hintermänner der Watering-Hole-Attacken scheinen aktuell eine Pause einzulegen. Möglicherweise nutzen sie die Zeit, um ihre Kampagne umzurüsten und unauffälliger zu gestalten. ESET-Sicherheitsforscher gehen davon aus, dass sie in den kommenden Monaten wieder aktiv werden. Weitere technische Details zu diesen Watering Hole-Angriffen auf Websites im Nahen Osten finden Sie im Blogpost «Watering-Hole-Angriffe im Nahen Osten» auf WeLiveSecurity.de.(fest/pte)
Digitaler Strukturwandel Nach über 16 Jahren hat sich news.ch entschlossen, den Titel in seiner jetzigen Form einzustellen. Damit endet eine Ära medialer Pionierarbeit. mehr lesen 22
Google hat neue Funktionen für Android angekündigt, die vor unbekannten Bluetooth-Trackern wie Apple AirTags warnen sollen. Die Funktionen werden in diesem Monat für Mobilgeräte mit Android 6.0 und höher ausgerollt. mehr lesen
Ein unbekannter Hacker oder eine Gruppe von Hackern hat Anfang Juni 2023 sensible Daten des IT-Unternehmens XPlain in der Schweiz gestohlen. Zu den gestohlenen Daten gehören ... mehr lesen
Publinews Cybersecurity ist ein Thema, das für jedes Unternehmen ganz oben auf der Tagesordnung stehen sollte. Die gelebte Praxis sieht in diesem Bereich häufig völlig anders aus. Oft handelt es sich um Anfängerfehler oder es ergeben sich Lücken in der Cybersicherheit aus einem Irrtum heraus. mehr lesen
Google hat angekündigt, ab Ende dieses Jahres mit der Löschung von Nutzerkonten zu beginnen, die nicht mehr aktiv sind. Diese Konten sind oft mit veralteten, möglicherweise unsicheren Passwörtern sowie ohne ... mehr lesen

-
19:33
Sammlung Emily Fisher Landau soll 400 Mio. Dollar einbringen -
18:25
AlphaMissense: KI-Programm hilft bei der Diagnose seltener Krankheiten -
12:00
Effizienter Kundenkontakt via SMS mit Ihren Galeriekunden -
16:23
Effizienz dank SMS Verwendung in Apotheken -
14:27
Botox in der Rekonstruktiven Chirurgie: Nicht-ästhetische Anwendungen, die man kennen sollte -
13:55
Gut vorbereitet nach Australien reisen -
14:26
Der Aufstieg und Fall von Peppr: Ein Einblick in den technikgetriebenen Begleitservice -
13:52
Generika: Sind sie wirklich gleichwertig wie teure Markenmedikamente? -
18:14
SMS als Marketing-Instrument für Boutiquen -
20:39
Die revolutionäre Kunst von Keith Haring auf dem Amiga Computer in den 80er Jahren! - Letzte Meldungen

- Freie Stellen aus den Berufsgruppen Bewachung, Kontrolle, Sicherheit, Testing, Audit, Security, Datenbank Spezialisten, Entwicklung, Netzwerk Spezialisten, Engineers, Software Programmierung
- Senior SPS-Programmierer 80-100% (m/w)
Zürich - In der heutigen schnelllebigen und technologiegetriebenen Welt hat die Automatisierung von... Weiter - Senior Software Tester (m/w/d) 70-100%
Bern - Der IT-Dienstleister mit Sitz in Bern beschäftigt rund 110 Mitarbeitende. Das Kerngeschäft der... Weiter - SAP BW Spezialist (w/m/d)
Zürich - SAP BW Spezialist (w/m/d) Zürich Swiss Life AG Ihr Verantwortungsbereich In dieser Rolle übernehmen... Weiter - Entwickler Produktsysteme, 80-100% (w/m/d)
Zürich - Entwickler Produktsysteme, 80-100% (w/m/d) Zürich Swiss Life AG Ihr Verantwortungsbereich Sie... Weiter - Software Test Engineer 80-100% (m/w/d)
Zürich - Software Test Engineer 80-100% (m/w/d) Zürich Swiss Life AG Ihr Verantwortungsbereich Zusammen mit... Weiter - Software Tester, 40% im Stundenlohn (w,m,d)
Zürichj - Software Tester, 40% im Stundenlohn (w,m,d) Zürich Swiss Life AG Ihr Verantwortungsbereich... Weiter - Software & Integration Developer*in #1865
Mägenwil - BRACK.CH AG BRACK.CH AG Software & Integration Developer*in #1865 Das erwartet dich Neu und... Weiter - Business Analyst (m/w/d)
Lausanne - Business Analyst (m/w/d) 1001 Lausanne Swiss Life Pension Services AG Ihr Verantwortungsbereich... Weiter - Senior Microsoft Entwickler Business Intelligence, 80-100% (w/m/d)
Zürich - Senior Microsoft Entwickler Business Intelligence, 80-100% (w/m/d) Zürich Swiss Life AG Ihr... Weiter - Azure & .NET Developer 80-100% (m/w/d)
Zürich - Azure & .NET Developer 80-100% (m/w/d) Zürich Swiss Life AG Ihr Verantwortungsbereich Als Teil des... Weiter - Über 20'000 weitere freie Stellen aus allen Berufsgruppen und Fachbereichen.
Der Remoteserver hat einen Fehler zurückgegeben: (500) Interner Serverfehler. Source: http://www.news.ch/ajax/top5.aspx?ID=0&col=COL_3_1
Möchten Sie zu diesen Themen eine eigene
Internetpräsenz aufbauen?
www.blogpost.ch www.regierungsbehoerden.swiss www.vereinigten.com www.organisationen.net www.hintermaenner.org www.webbrowser.shop www.angriffssoftware.blog www.angreifer.eu www.webseite.li www.aussenministerium.de www.angriffskampagnen.at
Registrieren Sie jetzt komfortabel attraktive Domainnamen!
Internetpräsenz aufbauen?
www.blogpost.ch www.regierungsbehoerden.swiss www.vereinigten.com www.organisationen.net www.hintermaenner.org www.webbrowser.shop www.angriffssoftware.blog www.angreifer.eu www.webseite.li www.aussenministerium.de www.angriffskampagnen.at
Registrieren Sie jetzt komfortabel attraktive Domainnamen!

![]() |
|||||
Heute | Do | Fr | |||
Zürich | 9°C | 24°C |
|
|
|
Basel | 10°C | 25°C |
|
|
|
St. Gallen | 9°C | 21°C |
|
|
|
Bern | 9°C | 24°C |
|
|
|
Luzern | 10°C | 24°C |
|
|
|
Genf | 11°C | 25°C |
|
|
|
Lugano | 15°C | 25°C |
|
|
|
mehr Wetter von über 8 Millionen Orten |

- Die verborgenen Taktiken der Fussballmannschaften
- Superfoods für Fussballer: Welche Nahrungsmittel steigern die Ausdauer und Leistung auf dem Feld?
- Jenseits der Top-Clubs: Die Seele des Fussballs in kleinen Vereinen
- So gestalten Sie eine unvergessliche Fussballparty
- Der emotionale Aufstieg: Wie Fans die Siege ihres Teams hautnah erleben
- Lost in Translation: Herausforderungen bei der Übertragung von Fussballbegriffen ins Schweizerdeutsche
- Grossartige Gadgets für Fussballbegeisterte: Originelle Geschenke für jeden Anlass
- Mehr Fussball-Meldungen

- Effizienter Kundenkontakt via SMS mit Ihren Galeriekunden
- Generika: Sind sie wirklich gleichwertig wie teure Markenmedikamente?
- SMS als Marketing-Instrument für Boutiquen
- Kulinarische Kürbis-Delikatessen: Die besten Kürbisgerichte in Schweizer Hotels
- Rolex übernimmt Bucherer: Luxusuhrenhersteller kauft traditionsreichen Juwelier
- Die Rolle von Kryptowährungen in der modernen Wirtschaft
- Neues Antibiotikum entschlüsselt
- Weitere Wirtschaftsmeldungen

- Android warnt bald vor unerwünschten Trackern
- Der Chamäleon-Effekt für das Display - biologisch abbaubar
- Gäste geben mehr Geld in Restaurants aus, die sie von Social Media kennen
- Eine Voliere für Drohnenforschung
- Was ist der digitale Lebensstil?
- Elon Musk investiert in eigene KI: «TruthGPT»
- Projekt Magi: Google arbeitet mit Hochdruck an KI-Suchmaschine
- Letzte Meldungen

- Revolutionäre Energiespeicher: Superkondensator aus Zement, Wasser und Russ
- «co-operate»: Modell für klimagerechtes Bauen
- Schweizer Finanzplatzakteure entwickeln gemeinsam die Net-Zero Data Public Utility
- Tesla baut neue Mega-Factory in Shanghai
- domains.ch zieht um ins Rechenzentrum Ostschweiz
- Neuer Rekord: Tandemsolarzelle schafft 32,5 Prozent Wirkungsgrad
- Wie sehen die Fenster der Zukunft aus?
- Letzte Meldungen

- Seminare zum Thema Datenschutz
- Der betriebliche Datenschutzverantwortliche - DATV
- CDPSE-Prüfungsvorbereitungskurs 2023: zertifizierter Datenschutz-Entwickler (internationales Zertifikat)
- Workshop zu Sicherheit und Datenschutz - SIDA
- EU Datenschutzverordnung - DATS
- 21. Berner Tagung für Informationssicherheit After the Breach
- ISSS Security Talk: Darknet - Einblick in den digitalen Untergrund“
- Datenschutz, insbesondere Datensicherung
- DSGVO - Datenschutz-Grundverordnung der Europäischen Union
- Betriebl. Mentor/in mit eidg. Fachausweis
- Personalführung Modul SVMB
- Weitere Seminare