25/05/23
Израильская ИБ-компания ClearSky сообщила , что несколько израильских сайтов в сфере логистики и доставки были взломаны с целью сбора информации об их пользователях.
Эксперты ClearSky «с низкой степенью уверенности» приписали атаки иранской группировке Tortoiseshell (TA456, Imperial Kitten), которая активна с июля 2018 года. Это передает Securitylab.
В ходе кампании было атаковано как минимум 8 израильских сайтов, в том числе компания по грузоперевозкам SNY Cargo, логистическая фирма Depolog и поставщик оборудования для ресторанов SZM. Сайты были скомпрометированы с помощью так называемой атаки типа «водопой» (Watering hole). На данный момент вредоносный код уже удалён с заражённых сайтов.
Атака Watering hole заключается в том, что хакеры компрометируют сайт, который часто посещают целевые жертвы. После взлома злоумышленники внедряют в сайт вредоносный код, который активируется при посещении сайта пользователями.
В недавней атаке хакеры использовали вредоносный JavaScript. Собранная информация включает:
- IP-адрес пользователя;
- разрешение экрана;
- URL предыдущей посещенной страницы.
Хакеры также пытались определить языковые настройки компьютера пользователя для того, чтобы адаптировать свои атаки в будущем.
Большинство скомпрометированных сайтов использовали хостинг-сервис uPress, который был атакован в 2020 году иранской группой Emennet Pasargad. В результате тысячи израильских сайтов были выведены из строя.
Израиль и Иран часто сталкиваются в киберпространстве из-за политической напряженности между двумя странами. Некоторые из иранских атак направлены на кражу пользовательских данных или уничтожение систем, другие — на распространение дезинформации.
