Maar liefst 25 websites die gelinkt zijn aan de Koerdische minderheid zijn gecompromitteerd als onderdeel van een drinkplaatsaanval die meer dan anderhalf jaar lang bedoeld was om gevoelige informatie te verzamelen.
Het Franse cyberbeveiligingsbedrijf Sekoia, dat details openbaarde van de campagne genaamd SilentSelfie, beschreef de inbraak als langdurig en de eerste tekenen van infectie werden al in december 2022 gedetecteerd.
De strategische webcompromissen zijn ontworpen om vier verschillende varianten van een raamwerk voor het stelen van informatie te bieden, voegde het eraan toe.
“Deze varieerden van de eenvoudigste, waarbij alleen de locatie van de gebruiker werd gestolen, tot meer complexe, waarbij beelden van de selfiecamera werden opgenomen en geselecteerde gebruikers ertoe werden aangezet een kwaadaardige APK te installeren, dat wil zeggen een applicatie die op Android wordt gebruikt”, aldus beveiligingsonderzoekers Felix Aimé en Maxime A. aldus een woensdagrapport.
Gerichte websites zijn onder meer de Koerdische pers en media, de regering van Rojava en haar strijdkrachten, websites die verband houden met revolutionaire extreem-linkse politieke partijen en organisaties in de Turkse en Koerdische regio’s. Sekoia vertelde The Hacker News dat de exacte methode waarmee deze websites in de eerste plaats werden gehackt nog steeds onzeker is.
De aanvallen zijn niet toegeschreven aan enige bekende dreigingsactor of entiteit, wat wijst op de opkomst van een nieuw dreigingscluster dat zich richt op de Koerdische gemeenschap, dat eerder werd uitgekozen door groepen als StrongPity en BladeHawk.
Eerder dit jaar onthulde het Nederlandse beveiligingsbedrijf Hunt & Hackett ook dat Koerdische websites in Nederland werden uitgekozen door een Türkiye-nexus-bedreigingsacteur, bekend als Sea Turtle.
De watering hole-aanvallen worden gekenmerkt door de inzet van kwaadaardig JavaScript dat verantwoordelijk is voor het verzamelen van verschillende soorten informatie van sitebezoekers, waaronder hun locatie, apparaatgegevens (bijvoorbeeld aantal CPU’s, batterijstatus, browsertaal, enz.) en openbare informatie. IP-adres, onder andere.
Er is ook waargenomen dat een variant van het verkenningsscript op drie websites (rojnews(.)news, hawarnews(.)com en targetplatform(.)net.) gebruikers omleidt naar frauduleuze Android APK-bestanden, terwijl bij andere de mogelijkheid bestaat om gebruikerstracking via een cookie genaamd “sessionIdVal.”
De Android-app integreert, volgens de analyse van Sekoia, de website zelf als een WebView, terwijl hij ook clandestien systeeminformatie, contactlijsten, locatie en bestanden in de externe opslag opzuigt op basis van de rechten die eraan zijn verleend.
“Het is vermeldenswaard dat deze kwaadaardige code geen persistentiemechanisme heeft, maar alleen wordt uitgevoerd wanneer de gebruiker de RojNews-applicatie opent”, aldus de onderzoekers.
“Zodra de gebruiker de applicatie opent, en na 10 seconden, begint de LocationHelper-service de achtergrond van de URL rojnews(.)news/wp-includes/sitemaps/ te markeren via HTTP POST-verzoeken, waarbij de huidige locatie van de gebruiker wordt gedeeld en wordt gewacht op commando’s om uit te voeren.”
Er is niet veel bekend over wie er achter SilentSelfie zit, maar Sekoia heeft vastgesteld dat dit het handwerk zou kunnen zijn van de regionale regering van Koerdistan van Irak, op basis van de arrestatie van RojNews-journalist Silêman Ehmed door KDP-troepen in oktober 2023. Hij werd veroordeeld tot drie jaar gevangenisstraf. gevangenis in juli 2024.
“Hoewel deze drinkplaatscampagne weinig verfijning heeft, valt ze op door het aantal getroffen Koerdische websites en de duur ervan”, aldus de onderzoekers. “Het lage niveau van verfijning van de campagne suggereert dat het het werk zou kunnen zijn van een ongedekte dreigingsspeler met beperkte capaciteiten en relatief nieuw in het veld.”