Angriff auf das Wasserloch

Ein Watering-Hole-Angriff ist, wenn Cyberkriminelle eine Website infizieren, die sie wissen, dass ihre Zielpersonen besuchen werden.

.st0{fill:#0D3ECC;} MALWAREBYTES KOSTENLOS HERUNTERLADEN

Auch für Windows, iOS, Android, Chromebook und Unternehmen

Was ist ein Watering-Hole-Angriff?

Ob im Bereich der Cybersicherheit oder im Dschungel, ein Watering-Hole-Angriff erfolgt, wenn Bedrohungsakteure ihre Ziele dort treffen, wo sie sich versammeln. In freier Wildbahn ist ein Wasserloch eine natürliche Wasseransammlung, wo durstige Tiere zum Trinken kommen. Mit gesenkter Wachsamkeit sind sie eine leichtere Beute für Jäger wie Löwen. Im Bereich der Cybersicherheit ist es ein ähnliches Konzept, nur dass es hier um Hacker geht, die Computerbenutzer im Web verfolgen.  

Wie funktionieren Watering-Hole-Angriffe?

Ein Watering-Hole-Angriff ist, wenn Cyberkriminelle Einzelpersonen, Gruppen oder Organisationen auf einer Website angreifen, die sie regelmäßig besuchen, und dabei Fähigkeiten wie Hacking und Social Engineering nutzen. Alternativ kann der Angreifer das Opfer auf eine eigene Website locken. Die Angriffe erfordern eine sorgfältige Ausführung in allen vier folgenden Phasen:

1. Informationsbeschaffung

Der Bedrohungsakteur sammelt Informationen, indem er die Surfgewohnheiten der Zielperson im Internet verfolgt. Zu den gängigen Instrumenten für die Informationsbeschaffung gehören Suchmaschinen, Seiten sozialer Medien, demografische Daten von Websites, Social Engineering, Spyware und Keylogger. Manchmal ist das Allgemeinwissen eine große Hilfe. Am Ende dieser Phase verfügen die Cyberkriminellen über eine Liste von Websites, die sie für einen Cyberangriff nutzen können.

2. Analyse

Die Cyberkriminellen analysieren die Liste der Websites auf Schwachstellen in Domain und Subdomain, die sie ausnutzen können. Alternativ können die Angreifer eine bösartige Website-Kopie erstellen. Manchmal machen sie beides – sie kompromittieren eine legitime Website, die die Ziele auf eine gefälschte führt.

3. Vorbereitung

Die hackers infizieren die Website mit Web-basierten Exploits, um ihre Ziele zu infizieren. Dieser Code kann Webtechnologien wie ActiveX, HTML, JavaScript, Bilder usw. ausnutzen, um Browser zu kompromittieren. Für gezieltere Angriffe können die Bedrohungsakteure auch Exploit-Kits verwenden, mit denen sie Besucher mit bestimmten IP-Adressen infizieren können. Diese Exploit-Kits sind besonders nützlich, wenn sie sich auf eine Organisation konzentrieren.

4. Ausführung

Wenn das Wasserloch fertig ist, warten die Angreifer darauf, dass die Malware ihre Arbeit verrichtet. Wenn alles gut geht, herunterladen die Browser der Zielpersonen herunterladen bösartige Software von der Website herunterladen und führen sie aus. Webbrowser können anfällig für Web-basierte Exploits sein, da sie in der Regel wahllos Code von Websites auf lokale Computer und Geräte herunterladen .

Welche Techniken verwenden Hacker bei Watering-Hole-Angriffen?

  • Cross-Site-Scripting (XSS): Mit diesem Injektionsangriff kann ein hacker bösartige Skripte in den Inhalt einer Website einfügen, um die Benutzer auf bösartige Websites umzuleiten.
  • SQL-Injektion: Hackers können SQL-Injection-Angriffe nutzen, um Daten zu stehlen.
  • DNS-Cache-Poisoning: Auch bekannt als DNS-Spoofing, verwenden Hacker diese Manipulationstechnik, um Ziele auf bösartige Seiten zu leiten.
  • Drive-by-Downloads: Ziele an einem Watering-Hole können schädlichen Inhalt ohne ihr Wissen, ihre Zustimmung oder Handlung in einem Drive-by-Download herunterladen.
  • Malvertising: Beim so genannten Malvertising injizieren hackers bösartigen Code in Anzeigen an einer Wasserstelle, um Malware an ihre Beute zu verteilen.
  • Zero-Day-Ausbeutung: Bedrohungsakteure können Zero-Day-Schwachstellen in einer Website oder einem Browser ausnutzen, die Watering-Hole-Angreifer verwenden können.

Beispiele für Watering-Hole-Angriffe

2012: Hacker infizierten die Website des American Council on Foreign Relations (CFR) mit einem Internet Explorer Exploit. Interessanterweise traf das Watering-Hole nur Internet Explorer-Browser, die bestimmte Sprachen verwendeten.

2013: Ein staatlich gesponserter Malware-Angriff traf Industrielle Kontrollsysteme (ICS) in den Vereinigten Staaten und Europa, wobei er auf Verteidigungs-, Energie-, Luftfahrt-, Pharma- und petrochemische Sektoren zielte.

2013: Hacker sammelten Benutzerinformationen, indem sie die Website des US-Arbeitsministeriums als Watering-Hole nutzten.

2016: Forscher fanden ein benutzerdefiniertes Exploit-Kit, das auf Organisationen in über 31 Ländern abzielte, darunter Polen, die Vereinigten Staaten und Mexiko. Die Quelle des Angriffs könnte der Webserver der polnischen Finanzaufsichtsbehörde gewesen sein.

2016: Die in Montreal ansässige Internationale Zivilluftfahrtorganisation (ICAO) ist ein Tor zu fast allen Fluggesellschaften, Flughäfen und nationalen Luftfahrtbehörden. Durch die Korruption von zwei ICAO-Servern verbreitete ein Hacker Malware auf andere Websites und machte so die sensiblen Daten von 2000 Benutzern und Mitarbeitern anfällig.

2017: Die NotPetya-Malware infiltrierte Netzwerke in der Ukraine, infizierte Website-Besucher und löschte deren Festplattendaten.

2018: Forscher fanden eine Watering-Hole-Kampagne namens OceanLotus. Dieser Angriff traf kambodschanische Regierungswebsites und vietnamesische Medienseiten.

2019: Cyberkriminelle nutzten ein bösartiges Adobe Flash-Popup, um einen Drive-by-Download-Angriff auf fast ein Dutzend Websites auszulösen. Dieser als Holy Water bekannte Angriff traf religiöse, karitative und freiwillige Websites.

2020: Das amerikanische Informationstechnologieunternehmen SolarWinds war das Ziel eines Watering-Hole-Angriffs, der Monate brauchte, um aufgedeckt zu werden. Staatlich gesponserte Agenten nutzten den Watering-Hole-Angriff, um Cybersicherheitsunternehmen, das Finanzministerium, die Heimatschutzbehörde usw. auszuspionieren.

2021: Die Threat Analysis Group (TAG) von Google hat weit verbreitete Watering-Hole-Angriffe auf Besucher von Medien- und pro-demokratischen Websites in Hongkong entdeckt. Die Malware-Infektion würde eine Hintertür bei Nutzern von Apple-Geräten installieren.

Jetzt: Watering-Hole-Angriffe sind eine fortschrittliche, anhaltende Bedrohung (APT ) für alle Arten von Unternehmen weltweit. Leider zielenhackers mit Watering Hole-Phishing, das auf Social Engineering-Strategien beruht, auf Einzelhandelsunternehmen, Immobilienfirmen und andere Einrichtungen ab.

Watering-Hole-Angriffe vs. Lieferketten-Angriffe

Obwohl Watering-Hole-Angriffe und Lieferketten-Angriffe ähnlich sein können, sind sie nicht immer dasselbe. Ein Lieferkettenangriff liefert Malware durch das schwächste Glied im Netzwerk einer Organisation, wie einen Lieferanten, Verkäufer oder Partner. Zum Beispiel könnten fünf externe Unternehmen unbewusst als Patient Null im Stuxnet-Angriff auf die luftdichten Computer des Iran fungiert haben. Ein Lieferkettenangriff kann auch eine kompromittierte Website als Watering Hole nutzen, aber das ist nicht zwingend erforderlich.

Wie schützt man sich vor Watering-Hole-Angriffen?

Für Verbraucher sind gute Cybersicherheitspraktiken, wie z. B. vorsichtig zu sein, wo man im Internet surft und klickt, ein gutes Antivirenprogramm zu verwenden und einen Browser-Schutz wie Malwarebytes Browser Guard zu nutzen, gemeinsam eine gute Möglichkeit, Wasserlochangriffe zu vermeiden. Browser Guard ermöglicht Ihnen ein sichereres Surfen, indem es Webseiten blockiert, die Malware enthalten.

Für Unternehmen umfassen Best Practices zum Schutz vor Watering-Hole-Angriffen:

  • Verwenden Sie fortschrittliche Malware-Analysesoftware, die mithilfe von maschinellem Lernen bösartiges Verhalten auf Websites und in E-Mails erkennt.
  • Testen Sie regelmäßig Ihre Sicherheitslösung und überwachen Sie Ihren Internetverkehr auf verdächtige Aktivitäten.
  • Schulen Sie Endbenutzer in Strategien zur Reduzierung von Watering-Hole-Angriffen.
  • Verwenden Sie die neuesten Sicherheitsupdates für Betriebssysteme und Browser, um die Risiken von Exploits zu minimieren.
  • Versuchen Sie es mit Cloud-Browsern anstelle von lokalen Browsern, um die Sicherheit zu erhöhen.
  • Überprüfen Sie die Berechtigungen, die Webseiten gewährt werden.
  • Verwenden Sie Endpoint Detection and Response Tools für Windows und Mac, um Endpunkte in Ihrem Unternehmen vor aufkommenden Malware-Bedrohungen zu schützen.
  • Nutzen Sie relevante Cybersicherheitsressourcen, um mehr über die Bedrohungsvektoren zu lernen, die Hacker bei Watering-Hole-Angriffen verwenden.

Nachrichten zu Watering-Hole-Angriffen