به گزارش همشهری آنلاین به نقل از گاردین، این پژوهشگران می‌گوید به شواهد جدیدی دست یافته‌اند که نشان می‌دهند جاسوس‌افزار ساخته‌شده بوسیله یک شرکت اسرائیلی که اخیرا در آمریکا در فهرست سیاه قرار گرفته است، برای هدف قرار دادن منتقدان در عربستان سعودی و سایر رژیم‌های خودکامه از جمله خوانندگان یک وب‌سایت خبری مستقر در لندن به کار رفته است.

گزارش پژوهشگران مستقر در مونترال کانادا از شرکت امنیت اینترنتی «ای‌ست» (Eset) در اسلوواکی پیوندهای میان حملات بر ضد وب‌سایت‌های مشهوری در خاورمیانه و بریتانیا و یک شرکت اسرائیلی به نام «کاندیرو» (Candriu) یافته‌اند که «اسرارآمیزترین شرکت جنگ سایبری» اسرائیل نامیده شده است.

هر دو شرکت «کاندیرو» و گروه «ان‌اس‌او»، یک شرکت اینترنتی دیگر اسرائیلی که جاسوس‌افزار «پگاسوس» را ساخته است، در این ماه بوسیله دولت بایدن در فهرست سیاه قرار داده شدند، چرا که به گفته مقامات آمریکایی بر ضد منافع ملی آمریکا عمل کرده‌اند.

گزارش شرکت «ای‌ست» اطلاعات جدیدی را درباره حملات سایبری «گودال آب» (watering hole) بوسیله نرم‌افزار ساخت شرکت «کاندیرو» آشکار کرده است. در این نوع حملات، بدافزار بر ضد وب‌سایت‌های عادی به کار می‌روند که خوانندگان یا کاربرانی که «هدف مورد علاقه» به‌کاربرنده بدافزار هستند، معمولا به آنها مراجعه می‌کنند.

این حملات پیچیده به کاربر بدافزار امکان می‌دهند مشخصات افرادی را که از آن وب‌سایت بازدید می‌کنند، از جمله نوع مرورگر و نوع سیستم عامل مورد استفاده‌شان را شناسایی کنت

در برخی از موارد کاربر بدافزار می‌تواند به کمک آنها کنترل کامپیوتر فرد هدف‌قرار گرفته را به دست گیرد.

بر خلاف جاسوس‌افزار شناخته‌شده شرکت ‌«ان‌اس‌او» به نام «پگاسوس» که تلفن‌های همراه را هدف قرار می‌دهد، تصور می‌شود بدافزار شرکت کاندیرو کامپیوترهای شخصی را هدف قرار دهد. ظاهرا نام این شرکت یعنی «کاندیرو» هم از نام یک گربه‌ماهی انگل آب‌های شیرین گرفته شده است که در منطقه آمازون یافت می‌شود.

این پژوهشگران دریافته‌اند که وب‌سایت‌هایی که «اهداف شناخته‌شده» این نوع حملات بوده‌اند، از جمله یک وب‌سایت خبری مستقر در لندن به نام Middle East Eye و چندین وب‌سایت مربوط به وزارتخانه‌های دولتی در ایران و یمن.

به گفته این پژوهشگران هنگامی که وب‌سایت‌ها با بدافزار شرکت «کاندیرو» آلوده می‌شوند، به «سایت‌های پرشی» بدل می‌شوند که کاربران بدافزار می‌توانند از طریق آنها افراد مورد نظرشان را هدف قرار دهند. به عبارت دیگر، هر کسی که وارد وب‌سایت آلوده‌شده می‌شود، در معرض خطر هک‌شدن قرار ندارد، بلکه کاربران بدافزار از وب‌سایت به عنوان نقطه شروعی برای شناسایی شمار بسیار کوچکتری از افراد استفاده می‌کنند که هدفشان هستند.

پژوهشگران شرکت «ای‌ست» می‌گویند سیستمی برای شناسایی وب‌سایت‌هایی که این بدافزار به اصطلاح «گودال‌های آب» در آن ایجاد کرده است، ساخته‌اند و این سیستم در ژوئیه ۲۰۲۰ نشان داده است که وب‌سایت سفارتخانه ایران در ابوظبی با کدهای بدافزار آلوده شده است. به گفته این پژوهشگران، در هفته‌های بعدی وب‌سایت‌های دیگر مرتبط با خاورمیانه نیز هدف قرار گرفتند.

سپس فعالیت‌های این بدافزار خاموش شد و بعد در ژانویه ۲۰۲۱ دوباره فعالیتش را از سر گرفت و تا اواخر تابستان ۲۰۲۱ فعال باقی ماند و پس از آن همه وب‌سایت‌های آلوده شده به این بدافزار «پاک شدند».

به گفته شرکت «ای‌ست»، ظاهرا فعالیت‌های نفوذ با استفاده از این بدافزار در ژوئیه ۲۰۲۱ پس از آن متوقف شد که پژوهشگران کانادایی Citizen Lab وابسته به دانشگاه تورنتو در گزارشی مشترک با شرکت مایکروسافت فعالیت‌های جاسوسی نرم‌افزار شرکت «کاندیرو» را افشا کردند.

شرکت مایکروسافت در ماه ژوئیه اعلام کرد که «کاندیرو» ظاهرا بدافزارش را که امکان هک کردن را فراهم می‌کند، فروخته است و دولت‌هایی که آن را خریده‌اند، خودشان هدف مورد نظرشان را برای استفاده از آن انتخاب کرده‌اند. مایکروسافت در آن هنگام گفت «سلاح سایبری» شرکت کاندیرو را از کار انداخته و از جمله با انتشار یک آپدیت برای نرم‌افزار ویندوز حفاظت لارم در برابر آن را ایجاد کرده است.

بر اساس گزارش یک روزنامه اسرائیلی، شرکت «کاندیرو» بدافزارش را به مراجعانی در کشورهای خلیج فارس، اروپای شرقی و آسیا فروخته است. وب‌سایت فوربس هم گزارش کرده است که شرکت کاندیرو با دولت‌های ازبکستان، عربستان سعودی و امارات متحده عربی معاملاتی داشته است.