经历了持续一年多的追踪，网络安全研究人员终于摸清了“中东之眼”新闻网站入侵事件的来龙去脉。由 ESET 周二发布的报告可知，一群黑客入侵了总部位于伦敦的这家热门新闻网站。这家网站着眼于中东地区的新闻报道，而攻击者的最终目标却是网站访客。

伊朗驻阿布扎比大使馆网站的脚本注入

据悉，这轮黑客活动一直从 2020 年 3 月活跃到 2021 年 8 月，期间波及大约 20 个网站，同时导致不少访客中招。

具体说来是，攻击者利用了所谓的“水坑攻击”（watering hole attacks）—— 借道合法网站，来瞄准它们的目标。

换言之，网站本身没有受到太大的破坏，但却让特定的访问者陷入了危险之中。

（图 via TechTarget）

ESET 研究员 Matthieu Faou 在接受 Motherboard 电话采访时称，他们一直没能摸清攻击者的最终有效载荷，显得它们在选择攻击目标时非常谨慎。

此外伊朗、叙利亚、也门等多国政府网站、一家位于意大利的航空航天企业、以及南非政府旗下的某国防集团站点 —— 它们都与“中东之眼”攻击事件有千丝万缕的联系。

ESET 推测，黑客可能是来自以色列的间谍软件供应商 Candiru 的一位客户，该公司已于早些时候被美国政府列入了黑名单。

Medica Trade Fair 克隆站点

作为业内最神秘的间谍软件供应商之一，Candiru 并无所谓的官网，且据说已多次变更名称。

不过由以色列《国土报》分享的一份文件可知，该公司“致力于提供渗透 PC 计算机、网络、手机的高端网络情报平台”。

在以色列纸媒于 2019 年首次曝光了 Candiru 的存在之后，包括卡巴斯基、微软、Google、Citizen Lab 在内的多家网络安全公司，纷纷对它的恶意软件展开了持续追踪。

FingerprintJS 主页

当 Motherboard 与“中东之眼”取得联系人，该网站数字开发负责人 Mahmoud Bondok 表示他们刚刚意识到这一切，同时在周二发布的一份新闻中对攻击事件予以谴责。

Matthieu Faou 表示，其计划于华盛顿特区举办的 CYBERWARCON 会议上展示更多发现。遗憾的是，尽管他尝试联系某些受影响的站点，但却迟迟没能收到任何答复。

虽然这些站点看起来都没有收到损害，但目前也不清楚是否相关网站已经逮住了黑客并删除了恶意代码，还是黑客自己动手清理了蛛丝马迹。