이스라엘의 스파이웨어 개발기업 'Candiru'가 다수의 웹사이트에 부정한 변경을 가했을 가능성

공격대상자가 열람할 것 같은 웹사이트에 무단 액세스하여 변경을 가해 공격대상자가 액세스했을 때 공격을 발동시키는 사이버 공격수법이 존재합니다. 이스라엘의 스파이웨어 개발기업인 Candiru가 이런 공격을 이용해 대규모 공격을 실행하고 있었을 가능성이 보고되었습니다.

Strategic web compromises in the Middle East with a pinch of Candiru | WeLiveSecurity
https://www.welivesecurity.com/2021/11/16/strategic-web-compromises-middle-east-pinch-candiru/

Strategic web compromises in the Middle East with a pinch of Candiru | WeLiveSecurity

Hackers Compromised Middle East Eye News Website to Hack Visitors, Researchers Say
https://www.vice.com/en/article/pkpbdm/hackers-compromised-middle-east-eye-news-website-to-hack-visitors-researchers-say

Hackers Compromised Middle East Eye News Website to Hack Visitors, Researchers Say

Candiru는 이스라엘 국방군의 첩보부대 조직인 8200부대의 전 멤버로 구성되어 있다고 알려진 기업으로 Windows의 제로데이 취약성을 찌르는 악성코드 'DevilsTongue'를 개발했을 가능성이 지적되고 있습니다. 이 혐의로 Candiru는 2021년 11월 미국정부에 의해 블랙리스트에 등록되었습니다.

Fighting cyberweapons built by private businesses - Microsoft On the Issues
https://blogs.microsoft.com/on-the-issues/2021/07/15/cyberweapons-cybersecurity-sourgum-malware/

Fighting cyberweapons built by private businesses - Microsoft On the Issues

Protecting customers from a private-sector offensive actor using 0-day exploits and DevilsTongue malware | Microsoft Security Blog
https://www.microsoft.com/security/blog/2021/07/15/protecting-customers-from-a-private-sector-offensive-actor-using-0-day-exploits-and-devilstongue-malware/

Protecting customers from a private-sector offensive actor using 0-day exploits and DevilsTongue malware - Microsoft Security Bl

이 Candiru가 관여하고 있는 것으로 알려진 이 공격은 ESET의 연구팀에 의한 공격감지 작업에서 발견되었습니다. 연구팀에 따르면 '이란, 시리아, 예멘 등의 정부기관 웹사이트', '이탈리아의 항공우주기업 웹사이트', '남아프리카정부가 소유한 방어 관련 웹사이트' 등 중동지역과 관련이 있는 약 20개의 웹사이트가 2020년 3월~2021년 8월 사이에 부정한 변경이 가해지고 있었다는 것. 이 변경으로 연결된 공격용 C&C서버는 Candiru가 과거에 사용했던 서버와 일치했기 때문에 연구팀은 일련의 공격에 Candiru의 툴이 사용되고 있었다고 결론을 내렸습니다.

ESET의 매튜 파우 씨에 따르면 공격의 상세한 데이터를 얻을 수 없었기 때문에 공격의 타겟이 누구였는지는 불분명하다고 합니다. 또 웹사이트의 변경은 복구되었지만 웹사이트의 소유자가 해당 코드를 삭제했는지, 해커가 공격의 증거를 숨기기 위해서 삭제했는지는 알 수 없다고 합니다.

변경된 웹사이트 중 하나인 영국의 뉴스사이트 'Middle East Eye'는 이번에 발각된 공격에 관한 기사를 공개하며 "우리는 공격에 관여했을 가능성이 있다고 생각되는 관련자를 상대로 법적조치를 모색하고 있습니다. 이번 공격은 보도의 자유의 미래에 심각한 결과를 가져올 수 있다”고 주장합니다.

Candiru: Israeli spyware, blacklisted by US, ‘suspected’ in attack on Middle East Eye | Middle East Eye
https://www.middleeasteye.net/news/candiru-israel-spyware-suspected-attack-middle-east-eye

한편 Candiru의 멤버들은 이번에 발각된 공격에 대해 “우리는 고객이 Candiru의 툴을 어떻게 사용하고 있는지, 누구를 타겟팅하는지 알 수 없다”며 "제품을 정부기관에만 판매하고 있고 Candiru 및 Candiru 제품은 웹사이트를 해킹하지 않는다"고 해명하며 관여를 부정하고 있습니다.