ESET：黑客借中东新闻网站对目标访客发起攻击

经历了持续一年多的追踪，网络安全研究人员终于摸清了“中东之眼”新闻网站入侵事件的来龙去脉。由 ESET 周二发布的报告可知，一群黑客入侵了总部位于伦敦的这家热门新闻网站。这家网站着眼于中东地区的新闻报道，而攻击者的最终目标却是网站访客。

http://hackernews.cc/wp-content/uploads/2021/11/a7c4ad2fa0b015f-600x386.png

伊朗驻阿布扎比大使馆网站的脚本注入

据悉，这轮黑客活动一直从 2020 年 3 月活跃到 2021 年 8 月，期间波及大约 20 个网站，同时导致不少访客中招。

具体说来是，攻击者利用了所谓的“水坑攻击”（watering hole attacks）—— 借道合法网站，来瞄准它们的目标。

换言之，网站本身没有受到太大的破坏，但却让特定的访问者陷入了危险之中。

http://hackernews.cc/wp-content/uploads/2021/11/a1078dd9c6d2576-600x241.png

（图 via TechTarget）

ESET 研究员 Matthieu Faou 在接受 Motherboard 电话采访时称，他们一直没能摸清攻击者的最终有效载荷，显得它们在选择攻击目标时非常谨慎。

此外伊朗、叙利亚、也门等多国政府网站、一家位于意大利的航空航天企业、以及南非政府旗下的某国防集团站点 —— 它们都与“中东之眼”攻击事件有千丝万缕的联系。

ESET 推测，黑客可能是来自以色列的间谍软件供应商 Candiru 的一位客户，该公司已于早些时候被美国政府列入了黑名单。

http://hackernews.cc/wp-content/uploads/2021/11/1161ff1b529f75d-600x500.png

Medica Trade Fair 克隆站点

作为业内最神秘的间谍软件供应商之一，Candiru 并无所谓的官网，且据说已多次变更名称。

不过由以色列《国土报》分享的一份文件可知，该公司“致力于提供渗透 PC 计算机、网络、手机的高端网络情报平台”。

在以色列纸媒于 2019 年首次曝光了 Candiru 的存在之后，包括卡巴斯基、微软、Google、Citizen Lab 在内的多家网络安全公司，纷纷对它的恶意软件展开了持续追踪。

http://hackernews.cc/wp-content/uploads/2021/11/1-2-600x456.png

FingerprintJS 主页

当 Motherboard 与“中东之眼”取得联系人，该网站数字开发负责人 Mahmoud Bondok 表示他们刚刚意识到这一切，同时在周二发布的一份新闻中对攻击事件予以谴责。

Matthieu Faou 表示，其计划于华盛顿特区举办的 CYBERWARCON 会议上展示更多发现。遗憾的是，尽管他尝试联系某些受影响的站点，但却迟迟没能收到任何答复。

虽然这些站点看起来都没有收到损害，但目前也不清楚是否相关网站已经逮住了黑客并删除了恶意代码，还是黑客自己动手清理了蛛丝马迹。

（消息及封面来源：cnBeta）