Cerca de 25 web sites ligados à minoria curda foram comprometidos como parte de um ataque watering gap concebido para recolher informações sensíveis durante mais de um ano e meio.
A empresa francesa de segurança cibernética Sekoia, que divulgou detalhes da campanha chamada SilentSelfie, descreveu o conjunto de intrusões como de longa duração, com os primeiros sinais de infecção detectados já em dezembro de 2022.
Os compromissos estratégicos da net são projetados para fornecer quatro variantes diferentes de uma estrutura de roubo de informações, acrescentou.
“Eles variavam desde os mais simples, que apenas roubavam a localização do usuário, até os mais complexos, que gravavam imagens da câmera selfie e levavam usuários selecionados a instalar um APK malicioso, ou seja, um aplicativo usado no Android”, disseram os pesquisadores de segurança Felix Aimé e Maxime A. disse em um relatório de quarta-feira.
Os web sites visados incluem a imprensa e os meios de comunicação curdos, a administração de Rojava e as suas forças armadas, aqueles relacionados com partidos políticos revolucionários de extrema esquerda e organizações nas regiões de Türkiye e curdas. Sekoia disse ao The Hacker Information que o método exato pelo qual esses websites foram violados permanece incerto.
Os ataques não foram atribuídos a nenhum ator ou entidade ameaçadora conhecida, indicando o surgimento de um novo grupo de ameaças visando a comunidade curda, que foi anteriormente apontada por grupos como StrongPity e BladeHawk.
No início deste ano, a empresa de segurança holandesa Hunt & Hackett também revelou que websites curdos na Holanda foram apontados por um ator de ameaça do nexo Türkiye conhecido como Sea Turtle.
Os ataques watering gap são caracterizados pela implantação de um JavaScript malicioso responsável por coletar vários tipos de informações dos visitantes do website, incluindo localização, dados do dispositivo (por exemplo, número de CPUs, standing da bateria, idioma do navegador, and so forth.) e informações públicas. Endereço IP, entre outros.
Uma variante do script de reconhecimento encontrada em três websites (rojnews(.)information, hawarnews(.)com, e targetplatform(.)internet.) também foi observado redirecionando usuários para arquivos APK Android desonestos, enquanto alguns outros incluem a capacidade de rastreamento de usuários por meio de um cookie chamado “sessionIdVal”.
O aplicativo Android, de acordo com a análise da Sekoia, incorpora o próprio website como um WebView, ao mesmo tempo que coleta clandestinamente informações do sistema, listas de contatos, localização e arquivos presentes no armazenamento externo com base nas permissões concedidas a ele.
“Vale ressaltar que esse código malicioso não possui nenhum mecanismo de persistência, mas só é executado quando o usuário abre o aplicativo RojNews”, apontaram os pesquisadores.
“Assim que o usuário abre o aplicativo, e após 10 segundos, o serviço LocationHelper começa a sinalizar o plano de fundo para a URL rojnews(.)information/wp-includes/sitemaps/ por meio de solicitações HTTP POST, compartilhando a localização atual do usuário e aguardando comandos a serem executados.”
Não se sabe muito sobre quem está por trás do SilentSelfie, mas Sekoia avaliou que poderia ser obra do Governo Regional do Curdistão do Iraque com base na prisão do jornalista Silêman Ehmed do RojNews pelas forças do KDP em outubro de 2023. Ele foi condenado a três anos em prisão em julho de 2024.
“Mesmo que esta campanha seja de baixa sofisticação, é notável pelo número de websites curdos afetados e pela sua duração”, disseram os pesquisadores. “O baixo nível de sofisticação da campanha sugere que ela pode ser o trabalho de um ator de ameaça descoberto, com capacidades limitadas e relativamente novo no campo”.
