Qu'est-ce qu'une attaque de type "watering hole" ?
Qu'il s'agisse de cybersécurité ou de jungle, une attaque par trou d'eau consiste pour les acteurs de la menace à frapper leurs cibles là où elles se rassemblent. Dans la nature, un point d'eau est une dépression naturelle où les animaux assoiffés viennent boire. En baissant leur garde, ils deviennent des proies plus faciles pour les chasseurs tels que les lions. Le concept est similaire dans le domaine de la cybersécurité, sauf qu'au lieu de grands félins et de gazelles, ce sont des pirates informatiques qui traquent les utilisateurs d'ordinateurs sur le web.
Comment fonctionnent les attaques de type "watering hole" ?
On parle d'attaque "watering hole" lorsque des cybercriminels attaquent des individus, des groupes ou des organisations sur un site web qu'ils fréquentent, en utilisant des techniques telles que le piratage et l'ingénierie sociale. Le pirate peut également attirer la victime sur un site web qu'il a créé. Ces attaques nécessitent une exécution méticuleuse des quatre phases suivantes :
1. Collecte de renseignements
L'acteur de la menace recueille des renseignements en suivant les habitudes de navigation de sa cible sur le web. Les outils courants de collecte de renseignements comprennent les moteurs de recherche, les pages de médias sociaux, les données démographiques des sites web, l'ingénierie sociale, les logiciels espions et les enregistreurs de frappe. Parfois, les connaissances communes sont d'une grande aide. À la fin de cette phase, les cybercriminels disposent d'une liste restreinte de cibles à utiliser pour une cyberattaque de type "watering hole".
2. L'analyse
Les cybercriminels analysent la liste des sites web à la recherche des faiblesses des domaines et sous-domaines qu'ils peuvent exploiter. Ils peuvent également créer un clone de site web malveillant. Parfois, ils font les deux, c'est-à-dire qu'ils compromettent un site web légitime de manière à ce qu'il conduise les cibles vers un faux site.
3. La préparation
Les pirates injectent dans le site web des exploits transmis par le web afin d'infecter leurs cibles. Ce code peut exploiter des technologies web comme ActiveX, HTML, JavaScript, des images, etc. pour compromettre les navigateurs. Pour des attaques plus ciblées, les acteurs de la menace peuvent également utiliser des kits d'exploitation qui leur permettent d'infecter les visiteurs avec des adresses IP spécifiques. Ces kits d'exploitation sont particulièrement utiles pour cibler une organisation.
4. Exécution
Le point d'eau étant prêt, les attaquants attendent que le logiciel malveillant fasse son travail. Si tout se passe bien, les navigateurs de la cible téléchargent et exécutent le logiciel malveillant à partir du site web. Les navigateurs web peuvent être vulnérables aux exploits véhiculés par le web car ils téléchargent généralement sans discernement le code des sites web vers les ordinateurs et appareils locaux.
Quelles sont les techniques utilisées par les pirates informatiques dans les attaques de type "watering hole" ?
- Les scripts intersites (XSS) : Avec cette attaque par injection, un pirate peut insérer des scripts malveillants dans le contenu d'un site pour rediriger les utilisateurs vers des sites web malveillants.
- Injection SQL : Les pirates peuvent utiliser des attaques par injection SQL pour voler des données.
- Empoisonnement du cache DNS : Également connue sous le nom de DNS spoofing, cette technique de manipulation est utilisée par les pirates pour envoyer leurs cibles vers des pages malveillantes.
- Téléchargements à la sauvette: Les cibles d'un point d'eau peuvent télécharger un contenu malveillant à leur insu, sans leur consentement ou sans qu'elles aient agi, dans le cadre d'un téléchargement de type "drive-by".
- Malvertising: Connu sous le nom de malvertising, les pirates injectent un code malveillant dans les publicités d'un point d'eau afin de propager des malwares à leurs proies.
- Exploitation du jour zéro : Les acteurs de la menace peuvent exploiter des vulnérabilités de type "zero-day" dans un site web ou un navigateur que les attaquants "watering hole" peuvent utiliser.
Exemples d'attaques par trou d'eau
2012: Des pirates informatiques ont infecté le site web du Conseil américain des relations étrangères (CFR) par le biais d'un exploit Internet Explorer. Il est intéressant de noter que le trou d'eau n'a touché que les navigateurs Internet Explorer qui utilisaient certaines langues.
2013 : Une attaque de malwares parrainée par un État a touché les systèmes de contrôle industriel (ICS) aux États-Unis et en Europe, ciblant les secteurs de la défense, de l'énergie, de l'aviation, de la pharmacie et de la pétrochimie.
2013 : Des pirates informatiques ont recueilli des informations sur les utilisateurs en utilisant le site web du ministère du travail des États-Unis comme point d'eau.
2016 : Les chercheurs ont découvert un kit d'exploitation personnalisé ciblant des organisations dans plus de 31 pays, dont la Pologne, les États-Unis et le Mexique. La source de l'attaque pourrait être le serveur web de l'autorité polonaise de surveillance financière.
2016 : L'Organisation de l'aviation civile internationale (OACI), basée à Montréal, est la porte d'entrée de la quasi-totalité des compagnies aériennes, des aéroports et des agences nationales de l'aviation. En corrompant deux des serveurs de l'OACI, un pirate informatique a propagé des malwares sur d'autres sites web, rendant vulnérables les données sensibles de 2000 utilisateurs et membres du personnel.
2017 : Le logiciel malveillant NotPetya a infiltré des réseaux à travers l'Ukraine, infectant les visiteurs de sites web et supprimant les données de leur disque dur.
2018 : Des chercheurs ont découvert une campagne d'arrosage appelée OceanLotus. Cette attaque a touché des sites web du gouvernement cambodgien et des sites de médias vietnamiens.
2019 : Des cybercriminels ont utilisé un pop-up Adobe Flash malveillant pour déclencher une attaque par téléchargement sur près d'une douzaine de sites web. Baptisée Holy Water, cette attaque a touché des sites religieux, caritatifs et bénévoles.
2020 : La société américaine de technologie de l'information SolarWinds a été la cible d'une attaque de type "watering hole" qui a mis des mois à être découverte. Des agents parrainés par l'État ont utilisé cette attaque pour espionner des entreprises de cybersécurité, le département du Trésor, le ministère de la sécurité intérieure Security, etc.
2021 : Le groupe d'analyse des menaces (TAG) de Google a découvert des attaques de type "watering hole" à grande échelle ciblant les visiteurs des médias et des sites web pro-démocratiques à Hong Kong. L'infection par un logiciel malveillant installerait une porte dérobée sur les personnes utilisant des appareils Apple.
Aujourd'hui : Les attaques de type "watering hole" constituent une menace persistante avancée (APT) contre tous les types d'entreprises dans le monde entier. Malheureusement, les pirates ciblent les commerces de détail, les sociétés immobilières et d'autres établissements par le biais de l'hameçonnage par trou d'eau (watering hole phishing) qui s'appuie sur des stratégies d'ingénierie sociale.
Attaques par trou d'eau et attaques de la chaîne d'approvisionnement
Bien que les attaques de type "watering hole" et les attaques de type "supply chain " puissent être similaires, elles ne sont pas toujours identiques. Une attaque de la chaîne d'approvisionnement diffuse des malwares par l'intermédiaire de l'élément le plus faible du réseau d'une organisation, comme un fournisseur, un vendeur ou un partenaire. Par exemple, cinq entreprises extérieures ont pu, à leur insu, servir de patient zéro dans l'attaque Stuxnet contre les ordinateurs iraniens sous surveillance aérienne. Une attaque de la chaîne d'approvisionnement peut également utiliser un site web compromis comme point d'eau, mais ce n'est pas nécessaire.
Comment se protéger contre les attaques de type "watering hole" ?
Pour les consommateurs, de bonnes pratiques en matière de cybersécurité, comme faire attention à l'endroit où vous naviguez et cliquez sur le web, utiliser un bon programme antivirus et utiliser une protection de navigateur comme Malwarebytes Browser Guard , sont collectivement un bon moyen d'éviter les attaques de type "watering hole". Browser Guard vous permet de naviguer de manière plus sûre en bloquant les pages web qui contiennent des malwares.
Pour les entreprises, les meilleures pratiques pour se protéger contre les attaques de type "watering hole" sont les suivantes :
- Utiliser un logiciel avancé d'analyse des malwares qui utilise l'apprentissage automatique pour reconnaître les comportements malveillants sur les sites web et dans les courriels.
- Testez régulièrement votre solution de sécurité et surveillez votre trafic Internet pour détecter toute activité suspecte.
- Former les utilisateurs finaux aux stratégies d'atténuation des attaques de type "watering hole".
- Utilisez les derniers correctifs de sécurité du système d'exploitation et du navigateur pour réduire le risque d'exploitation.
- Essayez les navigateurs en nuage plutôt que les navigateurs locaux pour une meilleure sécurité.
- Vérifier les autorisations accordées aux sites web.
- Utilisez les outils de détection et de réponse pour Windows et Mac afin de protéger les terminaux de votre entreprise contre les nouvelles menaces de malwares.
- Utilisez les ressources pertinentes en matière de cybersécurité pour en savoir plus sur les vecteurs de menace utilisés par les pirates pour les attaques de type "watering hole".
Nouvelles sur les attaques de points de vente d'eau
- Le nouveau logiciel malveillant Mac soulève de nouvelles questions sur les correctifs de sécurité d'Apple.
- Mise à jour maintenant ! Apple corrige un autre bug d'escalade de privilèges dans iOS et iPadOS
- Mettez à jour maintenant ! Chrome corrige un zero-day qui a été exploité dans la nature.
- 6 façons dont les pirates informatiques ciblent les commerces de détail