Angriff auf das Wasserloch

Bei einem Watering-Hole-Angriff infizieren Cyber-Kriminelle eine Website, von der sie wissen, dass ihre Opfer sie besuchen werden.

.st0{fill:#0D3ECC;} MALWAREBYTES KOSTENLOS HERUNTERLADEN

Auch für Windows, iOS, Android, Chromebook und For Business

Was ist ein Wasserloch-Angriff?

Egal, ob es sich um Cybersicherheit oder den Dschungel handelt, ein Angriff an einer Wasserstelle bedeutet, dass Bedrohungsakteure ihre Ziele dort angreifen, wo sie sich versammeln. In der Wildnis ist eine Wasserstelle eine natürliche Vertiefung, an der durstige Tiere trinken. Wenn sie nicht auf der Hut sind, sind sie eine leichte Beute für Jäger wie Löwen. Ein ähnliches Konzept gilt für die Cybersicherheit, nur dass es sich hier nicht um Großkatzen und Gazellen handelt, sondern um Hacker, die sich im Internet an Computerbenutzer heranpirschen.  

Wie funktionieren Angriffe auf Wasserlöcher?

Bei einem Watering-Hole-Angriff greifen Cyber-Kriminelle Einzelpersonen, Gruppen oder Organisationen auf einer von ihnen besuchten Website an und nutzen dabei Fähigkeiten wie Hacking und Social Engineering. Alternativ kann der Angreifer sein(e) Opfer auf eine von ihm erstellte Website locken. Die Angriffe erfordern eine akribische Ausführung in allen vier der folgenden Phasen:

1. Sammeln von Informationen

Der Bedrohungsakteur sammelt Informationen, indem er die Surfgewohnheiten der Zielperson im Internet verfolgt. Zu den gängigen Instrumenten für die Informationsbeschaffung gehören Suchmaschinen, Seiten sozialer Medien, demografische Daten von Websites, Social Engineering, Spyware und Keylogger. Manchmal ist das Allgemeinwissen eine große Hilfe. Am Ende dieser Phase verfügen die Cyberkriminellen über eine Liste von Websites, die sie für einen Cyberangriff nutzen können.

2. Analyse

Die Cyberkriminellen analysieren die Liste der Websites auf Schwachstellen in Domänen und Subdomänen, die sie ausnutzen können. Alternativ können die Angreifer auch einen bösartigen Website-Klon erstellen. Manchmal tun sie auch beides - sie kompromittieren eine legitime Website, so dass die Zielpersonen auf eine gefälschte Website geleitet werden.

3. Vorbereitung

Die Hacker infizieren die Website mit Web-basierten Exploits, um ihre Ziele zu infizieren. Dieser Code kann Webtechnologien wie ActiveX, HTML, JavaScript, Bilder usw. ausnutzen, um Browser zu kompromittieren. Für gezieltere Angriffe können die Bedrohungsakteure auch Exploit-Kits verwenden, mit denen sie Besucher mit bestimmten IP-Adressen infizieren können. Diese Exploit-Kits sind besonders nützlich, wenn sie sich auf eine Organisation konzentrieren.

4. Ausführung

Wenn das Wasserloch fertig ist, warten die Angreifer darauf, dass die Malware ihre Arbeit verrichtet. Wenn alles gut geht, werden die Browser der Zielpersonen herunterladen und die bösartige Software von der Website ausgeführt. Webbrowser können anfällig für Web-basierte Exploits sein, da sie in der Regel wahllos herunterladen Code von Websites auf lokale Computer und Geräte übertragen.

Welche Techniken verwenden Hacker bei Watering Hole-Angriffen?

  • Cross-Site-Scripting (XSS): Bei diesem Injektionsangriff kann ein Hacker bösartige Skripte in den Inhalt einer Website einfügen, um die Benutzer auf bösartige Websites umzuleiten.
  • SQL-Injektion: Hacker können SQL-Injection-Angriffe nutzen, um Daten zu stehlen.
  • DNS-Cache-Vergiftung: Auch bekannt als DNS-Spoofing, nutzen Hacker diese Manipulationstechnik, um Ziele auf bösartige Seiten zu schicken.
  • Drive-by-Downloads: Zielpersonen an einer Wasserstelle können herunterladen bösartige Inhalte ohne ihr Wissen, ihre Zustimmung oder ihr Zutun im Vorbeifahren herunterladen herunterladen.
  • Malvertising: Beim so genannten Malvertising injizieren Hacker bösartigen Code in Anzeigen an einer Wasserstelle, um Malware an ihre Beute zu verbreiten.
  • Zero-Day-Ausnutzung: Bedrohungsakteure können Zero-Day-Schwachstellen in einer Website oder einem Browser ausnutzen, die von Angreifern als Watering Hole genutzt werden können.

Beispiele für Watering Hole-Angriffe

2012: Hacker infizierten die Website des American Council on Foreign Relations (CFR) über eine Sicherheitslücke im Internet Explorer. Interessanterweise betraf die Sicherheitslücke nur Internet Explorer-Browser, die bestimmte Sprachen verwendeten.

2013: Ein staatlich gesponserter Malware-Angriff traf industrielle Kontrollsysteme (ICS) in den Vereinigten Staaten und Europa und zielte auf die Bereiche Verteidigung, Energie, Luftfahrt, Pharmazie und Petrochemie ab.

2013: Hacker erbeuteten Nutzerdaten, indem sie die Website des US-Arbeitsministeriums als Einfallstor nutzten.

2016: Forscher von fanden ein benutzerdefiniertes Exploit-Kit, das auf Organisationen in über 31 Ländern abzielt, darunter Polen, die Vereinigten Staaten und Mexiko. Die Quelle des Angriffs könnte der Webserver der polnischen Finanzaufsichtsbehörde gewesen sein.

2016: Die Internationale Zivilluftfahrt-Organisation (ICAO) mit Sitz in Montreal ist ein Tor zu fast allen Fluggesellschaften, Flughäfen und nationalen Luftfahrtbehörden. Durch die Beschädigung von zwei Servern der ICAO verbreitete ein Hacker Malware auf anderen Websites und machte die sensiblen Daten von 2000 Nutzern und Mitarbeitern angreifbar.

2017: Die Malware NotPetya infiltrierte Netzwerke in der Ukraine, infizierte Website-Besucher und löschte deren Festplattendaten.

2018: Forscher fanden eine Wasserloch-Kampagne namens OceanLotus. Dieser Angriff betraf Websites der kambodschanischen Regierung und vietnamesische Medienseiten.

2019: Cyberkriminelle nutzen ein bösartiges Adobe Flash-Popup, um einen Drive-by-Angriff herunterladen auf fast ein Dutzend Websites auszulösen. Dieser Angriff mit dem Namen "Holy Water" (Heiliges Wasser) betraf religiöse, wohltätige und ehrenamtliche Websites.

2020: Das amerikanische Informationstechnologieunternehmen SolarWinds war das Ziel eines Watering-Hole-Angriffs, dessen Aufdeckung Monate dauerte. Staatlich gesponserte Agenten nutzten den Watering-Hole-Angriff, um Cybersicherheitsunternehmen, das Finanzministerium, Homeland Security usw. auszuspionieren.

2021: Die Threat Analysis Group (TAG) von Google hat weit verbreitete Watering-Hole-Angriffe auf Besucher von Medien- und pro-demokratischen Websites in Hongkong entdeckt. Die Malware-Infektion würde eine Hintertür bei Nutzern von Apple-Geräten installieren.

Jetzt: Watering-Hole-Angriffe sind eine fortschrittliche, anhaltende Bedrohung (APT ) für alle Arten von Unternehmen weltweit. Leider zielen Hacker mit Watering Hole-Phishing, das auf Social-Engineering-Strategien beruht, auf Einzelhandelsunternehmen, Immobilienfirmen und andere Einrichtungen ab.

Angriffe mit Wasserlöchern und Angriffe auf die Lieferkette

Obwohl Wasserlochangriffe und Angriffe auf die Lieferkette ähnlich sein können, sind sie nicht immer dasselbe. Bei einem Angriff auf die Lieferkette wird Malware über das schwächste Element im Netzwerk eines Unternehmens, z. B. einen Lieferanten, Anbieter oder Partner, eingeschleust. So könnten beispielsweise fünf externe Unternehmen unwissentlich als Patient Zero beim Stuxnet-Angriff auf die luftgestützten Computer des Iran fungiert haben. Ein Angriff auf die Lieferkette kann auch eine kompromittierte Website als Einfallstor nutzen, aber das ist nicht notwendig.

Wie man sich vor Wasserloch-Angriffen schützt

Für Verbraucher sind gute Cyber-Sicherheitspraktiken, wie z. B. vorsichtig zu sein, wo man im Internet surft und klickt, ein gutes Antivirenprogramm zu verwenden und einen Browser-Schutz wie Malwarebytes Browser Guard zu nutzen, gemeinsam ein guter Weg, um Watering-Hole-Angriffe zu vermeiden. Browser Guard ermöglicht es Ihnen, sicherer zu surfen, indem es Webseiten blockiert, die Malware enthalten.

Für Unternehmen gibt es folgende bewährte Praktiken zum Schutz vor Angriffen durch Wasserlöcher:

  • Verwenden Sie fortschrittliche Malware-Analysesoftware, die mithilfe von maschinellem Lernen bösartiges Verhalten auf Websites und in E-Mails erkennt.
  • Testen Sie Ihre Sicherheitslösung regelmäßig und überwachen Sie Ihren Internetverkehr auf verdächtige Aktivitäten.
  • Schulung von Endbenutzern in Strategien zur Abschwächung von Watering-Hole-Angriffen.
  • Verwenden Sie die neuesten Sicherheitspatches für das Betriebssystem und den Browser, um das Risiko von Angriffen zu verringern.
  • Versuchen Sie es mit Cloud-Browsern anstelle von lokalen Browsern, um die Sicherheit zu erhöhen.
  • Überprüfen Sie die Berechtigungen, die Websites erteilt werden.
  • Verwenden Sie Endpoint Detection and Response-Tools für Windows und Mac , um die Endpunkte in Ihrem Unternehmen vor neuen Malware-Bedrohungen zu schützen.
  • Nutzen Sie einschlägige Cybersecurity-Ressourcen, um mehr über die Bedrohungsvektoren zu erfahren, die Hacker für Watering-Hole-Angriffe verwenden.

Nachrichten über Angriffe auf Wasserstellen