اكتشف باحثو “إسيت” هجمات ويب استراتيجية والتي تعرف باسم (ثقب الماء) ضد مواقع بارزة في الشرق الأوسط، وتتركز تلك الهجمات بشكل قوي على اليمن، كما ترتبط الهجمات بشركة “Candriu ” وهى شركة تبيع أحدث أدوات البرمجيات الهجومية والخدمات ذات الصلة للوكالات الحكومية. وتنتمي المواقع الإلكترونية التي تمت مهاجمتها إلى وسائل إعلام في المملكة المتحدة، اليمن، المملكة العربية بالإضافة إلى حزب الله، وأيضًا مواقع تنتمي للمؤسسات الحكومية في إيران (وزارة الخارجية)، سوريا (وزارة الكهرباء)، اليمن (وزارتي الداخلية والمالية)، ومقدمي خدمات الإنترنت في اليمن وسوريا، وشركات الطيران / التكنولوجيا العسكرية في إيطاليا وجنوب إفريقيا. كما أنشا المهاجمون أيضًا موقعًا إلكترونيًا يحاكي معرضًا تجاريًا للأدوية في ألمانيا.
ويؤدي هجوم (ثقب الماء) إلى اختراق مواقع الويب التي من المحتمل ان يزورها الأشخاص المستهدفون، مما يفتح الباب أمام غزو لزوار الموقع، ففي هذه الحملة من المحتمل أن زوار محددين لهذه المواقع قد تعرضوا للهجوم من خلال استغلال المتصفح، ومع ذلك، لم يتمكن باحثو “إسيت” من الحصول على محصلة نهائية واضحة. وهذا يوضح أن الجهات الفاعلة لذلك التهديد قد اختارت تضييق نطاق تركيز عملياتها، مما يدل على مدى استهداف هذه الحملة بشدة، كما يتم استخدام المواقع المخترقة فقط كنقطة انطلاق للوصول إلى الأهداف النهائية.
يقول “ماثيو فو” الباحث في مركز “إسيت” للأبحاث والذي كشف عن حملات “ثقب الماء”: “في عام 2018، لقد طورنا نظامًا داخليًا مخصصًا للكشف عن ثقوب الماء في مواقع الويب البارزة، وفي 11 يوليو 2020 أخبرنا النظام أن موقع السفارة الإيرانية في أبو ظبي ملوث بشفرة JavaScript ضارة. وقد أثار فضلونا الطبيعة البارزة لموقع الويب المستهدف، وفي الأسابيع التالية لاحظنا أن مواقع الويب الأخرى التي لها اتصالات بالشرق الأوسط قد تم استهدافها أيضًا”.
وأضاف: “قلت الهجمات من تلك المجموعة حتى يناير 2021، عندما لاحظنا موجة جديدة من التهديدات، والتي استمرت هذه الموجة الثانية حتى أغسطس 2021، حتى تم تنظيف جميع المواقع مرة أخرى كما كان الحال في عام 2020، وعلى الأرجح تمت من قبل الجناة أنفسهم”.
وأوضح “فو” إلى أن المهاجمون قاموا بمحاكاة موقع ويب ينتمي إلى معرض MEDICA التجاري التابع للمنتدى العالمي للطب الذي عقد في دوسلدورف، ألمانيا. حيث قام باستنساخ موقع الويب الأصلي وإضافة جزء صغير من كود JavaScript. من المحتمل أن المهاجمون لم يكونوا قادرين على اختراق موقع الويب القانوني واضطروا إلى إنشاء موقع مزيف لحقن شفراتهم الخبيثة.
خلال حملة 2020، فحص البرمجيات الخبيثة نظام التشغيل ومتصفح الويب، ونظرًا لأن عملية الاختيار كانت تعتمد على برامج الكمبيوتر، لم تكن الحملة تستهدف أجهزة الهاتف المحمول، وفي الموجة الثانية ومن أجل التخفي قليلًا بدا المهاجمون في تعديل البرامج النصية التي كانت موجودة بالفعل على مواقع الويب المخترقة.
وأشار “فو” إلى منشور تم نشره بواسطة “Citizen Lab” بجامعة تورنتو في مدونة تتحدث عن “Candiru” تحت مسمى ” كتلة مرتبطة بالسعودية؟ – A Saudi-Linked Clusyer?” والتي تشير إلى مستند التصيد والذي تم تحميله إلى VirusTotal ونطاقات عديدة يديرها المهاجمون. ويردف “فو” والذي يربط الهجمات الإلكترونية بـ Candiru، بأن أسماء النطاقات هى أشكال مختلفة من مختصرات عناوين URL الأصلية ومواقع تحليلات الويب، وهى نفس التنقية المستخدمة للنطاقات التي تظهر في هجمات “ثوب الماء”.
وبالتالي، هناك احتمال كبير أن يكون مشغلو حملات “ثقوب الماء” من عملاء “Candiru”، وأن يكون منشئو المستندات ومشغلو “ثقوب الماء” نفس الأشخاص. وتعتبر “Candiru” شركة برامج تجسس إسرائيلية خاصة تمت إضافتها مؤخرًا إلى قائمة الكيانات التابعة لوزارة التجارة الأمريكية، الأمر الذي قد يمنع أي منظمة مقرها الولايات المتحدة الأمريكية من القيام بأعمال تجارية مع “Candiru” دون الحصول أولا على ترخيص من وزارة التجارة الأمريكية.
وتتوقع “إسيت” للأبحاث عودة نشاط هذه العمليات مرة أخرى في الأشهر التالية، حيث توقفت عن رؤية نشاطهم في نهاية يوليو 2021، بعد وقت قصير من إصدار المدونات من قبل “Citizen Lab”، جوجل ومايكروسوفت والتي توضح بالتفصيل أنشطة “Candiru”. وقد يبدو أن المشغلين توقفوا مؤقتًا وربما من أجل إعادة تجهيز حملتهم وجعل حملتهم أكثر سرية.