Cайты логистических компаний Израиля пострадали от кибератаки иранских хакеров

Израильская ИБ-компания ClearSky сообщила , что несколько израильских сайтов в сфере логистики и доставки были взломаны с целью сбора информации об их пользователях.

Эксперты ClearSky «с низкой степенью уверенности» приписали атаки иранской группировке Tortoiseshell (TA456, Imperial Kitten), которая активна с июля 2018 года.

В ходе кампании было атаковано как минимум 8 израильских сайтов, в том числе компания по грузоперевозкам SNY Cargo, логистическая фирма Depolog и поставщик оборудования для ресторанов SZM. Сайты были скомпрометированы с помощью так называемой атаки типа «водопой» (Watering hole). На данный момент вредоносный код уже удалён с заражённых сайтов.

Атака Watering hole заключается в том, что хакеры компрометируют сайт, который часто посещают целевые жертвы. После взлома злоумышленники внедряют в сайт вредоносный код, который активируется при посещении сайта пользователями.

В недавней атаке хакеры использовали вредоносный JavaScript. Собранная информация включает:

• IP-адрес пользователя;
• разрешение экрана;
• URL предыдущей посещенной страницы.

Хакеры также пытались определить языковые настройки компьютера пользователя для того, чтобы адаптировать свои атаки в будущем.

Большинство скомпрометированных сайтов использовали хостинг-сервис uPress, который был атакован в 2020 году иранской группой Emennet Pasargad. В результате тысячи израильских сайтов были выведены из строя.

Израиль и Иран часто сталкиваются в киберпространстве из-за политической напряженности между двумя странами. Некоторые из иранских атак направлены на кражу пользовательских данных или уничтожение систем, другие — на распространение дезинформации.