Hasta 25 sitios web relacionados con la minoría kurda han sido comprometidos en un ataque tipo “watering hole” diseñado para recolectar información confidencial durante más de un año y medio.
La firma francesa de ciberseguridad Sekoia, que dio a conocer detalles de la campaña llamada SilentSelfie, describió la intrusión como prolongada, con los primeros indicios de infección detectados en diciembre de 2022.
Los ataques web estratégicos están diseñados para ofrecer cuatro variantes diferentes de un marco de robo de información, añadieron.
“Estos variaban desde los más simples, que solo robaban la ubicación del usuario, hasta otros más complejos que registraban imágenes de la cámara frontal y llevaban a ciertos usuarios a instalar un APK malicioso, es decir, una aplicación para Android”, explicaron los investigadores de seguridad, Felix Aimé y Maxime A, en un informe del miércoles.
Entre los sitios web afectados se encuentran medios de comunicación kurdos, la administración de Rojava y sus fuerzas armadas, así como aquellos vinculados a partidos y organizaciones políticas de extrema izquierda en Turquía y las regiones kurdas. Sekoia informó a The Hacker News que el método exacto utilizado para violar estos sitios web sigue siendo incierto.
Los ataques no han sido atribuidos a ningún actor o entidad de amenazas conocida, lo que sugiere el surgimiento de un nuevo grupo de amenazas dirigido a la comunidad kurda, previamente señalado por grupos como StrongPity y BladeHawk.
A principios de este año, la empresa de seguridad holandesa Hunt & Hackett también reveló que los sitios web kurdos en los Países Bajos fueron identificados por un actor de amenazas vinculado a Turquía conocido como Sea Turtle.
Los ataques de “watering hole” se caracterizan por el uso de un JavaScript malicioso que recopila diversos tipos de información de los visitantes, incluyendo ubicación, datos del dispositivo (como número de CPU, estado de la batería, idioma del navegador, etc.) y dirección IP pública.
Además, se ha observado que una variante del script de reconocimiento en tres sitios web (rojnews[.]news, hawarnews[.]com y targetplatform[.]net) redirige a los usuarios a APKs fraudulentos, mientras que otros scripts permiten el seguimiento de usuarios mediante una cookie llamada “sessionIdVal”.
La aplicación de Android, según el análisis de Sekoia, integra el sitio web como un WebView, extrayendo clandestinamente información del sistema, listas de contactos, ubicación y archivos del almacenamiento externo según los permisos otorgados.
“Es importante destacar que este código malicioso no tiene mecanismos de persistencia y solo se ejecuta cuando el usuario abre la aplicación RojNews”, señalaron los investigadores.
“Una vez que el usuario abre la aplicación, después de 10 segundos, el servicio LocationHelper comienza a enviar señales en segundo plano a la URL rojnews[.]news/wp-includes/sitemaps/ a través de solicitudes HTTP POST, compartiendo la ubicación actual del usuario y esperando la ejecución de comandos”.
Se sabe poco sobre quién está detrás de SilentSelfie, pero Sekoia sugiere que podría estar relacionado con el Gobierno Regional del Kurdistán de Irak, basándose en el arresto del periodista de RojNews, Silêman Ehmed, por las fuerzas del KDP en octubre de 2023. Fue condenado a tres años de prisión en julio de 2024.
“Aunque esta campaña de ciberataques carece de sofisticación, destaca por la cantidad de sitios web kurdos afectados y su duración”, afirmaron los investigadores. “El bajo nivel de sofisticación sugiere que podría ser obra de un actor de amenazas no identificado, con capacidades limitadas y relativamente nuevo en el campo”.
Fuente: thehackernews.com