Angriff auf das Wasserloch

Was ist ein Watering-Hole-Angriff?

Ob im Bereich der Cybersicherheit oder im Dschungel, ein Watering-Hole-Angriff erfolgt, wenn Bedrohungsakteure ihre Ziele dort treffen, wo sie sich versammeln. In freier Wildbahn ist ein Wasserloch eine natürliche Wasseransammlung, wo durstige Tiere zum Trinken kommen. Mit gesenkter Wachsamkeit sind sie eine leichtere Beute für Jäger wie Löwen. Im Bereich der Cybersicherheit ist es ein ähnliches Konzept, nur dass es hier um Hacker geht, die Computerbenutzer im Web verfolgen.

Wie funktionieren Watering-Hole-Angriffe?

Ein Watering-Hole-Angriff ist, wenn Cyberkriminelle Einzelpersonen, Gruppen oder Organisationen auf einer Website angreifen, die sie regelmäßig besuchen, und dabei Fähigkeiten wie Hacking und Social Engineering nutzen. Alternativ kann der Angreifer das Opfer auf eine eigene Website locken. Die Angriffe erfordern eine sorgfältige Ausführung in allen vier folgenden Phasen:

1. Informationsbeschaffung

Der Bedrohungsakteur sammelt Informationen, indem er die Surfgewohnheiten seines Ziels verfolgt. Zu den gängigen Tools zur Informationsbeschaffung gehören Suchmaschinen, Social-Media-Seiten, Website-Demografiedaten, Social Engineering, Spyware und Keylogger. Manchmal hilft auch gängiges Wissen weiter. Am Ende dieser Phase haben die Cyberkriminellen eine Liste von Ziel-Websites für einen Watering-Hole-Cyberangriff zusammengestellt.

2. Analyse

Die Cyberkriminellen analysieren die Liste der Websites auf Schwachstellen in Domain und Subdomain, die sie ausnutzen können. Alternativ können die Angreifer eine bösartige Website-Kopie erstellen. Manchmal machen sie beides – sie kompromittieren eine legitime Website, die die Ziele auf eine gefälschte führt.

3. Vorbereitung

Die Hacker injizieren die Website mit webbasierten Exploits, um ihre Ziele zu infizieren. Solcher Code kann Webtechnologien wie ActiveX, HTML, JavaScript, Bilder und mehr ausnutzen, um Browser zu kompromittieren. Für gezieltere Angriffe können die Bedrohungsakteure auch Exploit-Kits verwenden, die ihnen erlauben, Besucher mit bestimmten IP-Adressen zu infizieren. Diese Exploit-Kits sind besonders nützlich, wenn es um eine Organisation geht.

4. Ausführung

Mit dem vorbereiteten Watering-Hole warten die Angreifer darauf, dass die Malware ihre Arbeit verrichtet. Wenn alles gut geht, laden und starten die Browser des Ziels die Schadsoftware von der Website. Webbrowser können anfällig für webbasierte Exploits sein, da sie normalerweise wahllos Code von Websites auf lokale Computer und Geräte herunterladen.

Welche Techniken verwenden Hacker bei Watering-Hole-Angriffen?

Cross-Site Scripting (XSS): Mit diesem Injection-Angriff kann ein Hacker bösartige Skripte in den Inhalt einer Website einfügen, um Benutzer zu bösartigen Websites umzuleiten.
SQL-Injection: Hacker können SQL-Injection-Angriffe nutzen, um Daten zu stehlen.
DNS-Cache-Poisoning: Auch bekannt als DNS-Spoofing, verwenden Hacker diese Manipulationstechnik, um Ziele auf bösartige Seiten zu leiten.
Drive-by-Downloads: Ziele an einem Watering-Hole können schädlichen Inhalt ohne ihr Wissen, ihre Zustimmung oder Handlung in einem Drive-by-Download herunterladen.
Malvertising: Bekanntermaßen als Malvertising, injizieren Hacker bösartigen Code in Anzeigen an einem Watering-Hole, um Malware unter ihre Beute zu verbreiten.
Zero-Day-Ausbeutung: Bedrohungsakteure können Zero-Day-Schwachstellen in einer Website oder einem Browser ausnutzen, die Watering-Hole-Angreifer verwenden können.

Beispiele für Watering-Hole-Angriffe

2012: Hacker infizierten die Website des American Council on Foreign Relations (CFR) mit einem Internet Explorer Exploit. Interessanterweise traf das Watering-Hole nur Internet Explorer-Browser, die bestimmte Sprachen verwendeten.

2013: Ein staatlich gesponserter Malware-Angriff traf Industrielle Kontrollsysteme (ICS) in den Vereinigten Staaten und Europa, wobei er auf Verteidigungs-, Energie-, Luftfahrt-, Pharma- und petrochemische Sektoren zielte.

2013: Hacker sammelten Benutzerinformationen, indem sie die Website des US-Arbeitsministeriums als Watering-Hole nutzten.

2016: Forscher fanden ein benutzerdefiniertes Exploit-Kit, das auf Organisationen in über 31 Ländern abzielte, darunter Polen, die Vereinigten Staaten und Mexiko. Die Quelle des Angriffs könnte der Webserver der polnischen Finanzaufsichtsbehörde gewesen sein.

2016: Die in Montreal ansässige Internationale Zivilluftfahrtorganisation (ICAO) ist ein Tor zu fast allen Fluggesellschaften, Flughäfen und nationalen Luftfahrtbehörden. Durch die Korruption von zwei ICAO-Servern verbreitete ein Hacker Malware auf andere Websites und machte so die sensiblen Daten von 2000 Benutzern und Mitarbeitern anfällig.

2017: Die NotPetya-Malware drang in Netzwerke in der Ukraine ein, infizierte Website-Besucher und löschte deren Festplattendaten.

2018: Forscher fanden eine Watering-Hole-Kampagne namens OceanLotus. Dieser Angriff traf kambodschanische Regierungswebsites und vietnamesische Medienseiten.

2019: Cyberkriminelle nutzten ein bösartiges Adobe Flash-Popup, um einen Drive-by-Download-Angriff auf fast ein Dutzend Websites auszulösen. Dieser als Holy Water bekannte Angriff traf religiöse, karitative und freiwillige Websites.

2020: Das amerikanische Informationstechnologieunternehmen SolarWinds war das Ziel eines Watering-Hole-Angriffs, der Monate brauchte, um aufgedeckt zu werden. Staatlich gesponserte Agenten nutzten den Watering-Hole-Angriff, um Cybersicherheitsunternehmen, das Finanzministerium, die Heimatschutzbehörde usw. auszuspionieren.

2021: Die Threat Analysis Group (TAG) von Google entdeckte weit verbreitete Watering-Hole-Angriffe, die Besucher von Medien- und Pro-Demokratie-Websites in Hongkong ins Visier nahmen. Die Malware-Infektion installierte eine Hintertür auf Geräten von Apple-Nutzern.

Jetzt: Watering-Hole-Angriffe sind eine Advanced Persistent Threat (APT) gegen alle Arten von Unternehmen weltweit. Leider zielen Hacker auf Einzelhandelsgeschäfte, Immobilienunternehmen und andere Einrichtungen mit Watering-Hole-Phishing, das von Social-Engineering-Strategien angetrieben wird.

Watering-Hole-Angriffe vs. Lieferketten-Angriffe

Obwohl Watering-Hole-Angriffe und Lieferketten-Angriffe ähnlich sein können, sind sie nicht immer dasselbe. Ein Lieferkettenangriff liefert Malware durch das schwächste Glied im Netzwerk einer Organisation, wie einen Lieferanten, Verkäufer oder Partner. Zum Beispiel könnten fünf externe Unternehmen unbewusst als Patient Null im Stuxnet-Angriff auf die luftdichten Computer des Iran fungiert haben. Ein Lieferkettenangriff kann auch eine kompromittierte Website als Watering Hole nutzen, aber das ist nicht zwingend erforderlich.

Wie schützt man sich vor Watering-Hole-Angriffen?

Für Verbraucher sind gute Cybersicherheitspraktiken wie Vorsicht, wo Sie im Web surfen und klicken, die Verwendung eines guten Antivirenprogramms und der Einsatz von Browser-Schutz wie Malwarebytes Browser Guard eine gute Möglichkeit, Watering-Hole-Angriffen zu entgehen. Der Browser Guard ermöglicht es Ihnen, sicherer zu surfen, indem er Webseiten blockiert, die Malware enthalten.

Für Unternehmen umfassen Best Practices zum Schutz vor Watering-Hole-Angriffen:

Verwenden Sie fortschrittliche Malware-Analysetools, die maschinelles Lernen nutzen, um bösartiges Verhalten auf Websites und in E-Mails zu erkennen.
Testen Sie regelmäßig Ihre Sicherheitslösung und überwachen Sie Ihren Internetverkehr auf verdächtige Aktivitäten.
Schulen Sie Endbenutzer in Strategien zur Reduzierung von Watering-Hole-Angriffen.
Verwenden Sie die neuesten Sicherheitsupdates für Betriebssysteme und Browser, um die Risiken von Exploits zu minimieren.
Versuchen Sie Cloud-Browser anstelle von lokalen Browsern für eine bessere Sicherheit.
Überprüfen Sie die Berechtigungen, die Webseiten gewährt werden.
Verwenden Sie Endpoint Detection and Response Tools für Windows und Mac, um Endpunkte in Ihrem Unternehmen vor aufkommenden Malware-Bedrohungen zu schützen.
Nutzen Sie relevante Cybersicherheitsressourcen, um mehr über die Bedrohungsvektoren zu lernen, die Hacker bei Watering-Hole-Angriffen verwenden.