Attacco al watering hole

Un attacco watering hole è quando i criminali informatici infettano un sito web che le loro vittime intendono visitare.

.st0{fill:#0D3ECC;} DOWNLOAD MALWAREBYTES GRATUITO

Anche per Windows, iOS, Android, Chromebook e Per il Business

Cos'è un attacco watering hole?

Che si parli di cybersecurity o della giungla, un attacco watering hole è quando gli attori della minaccia colpiscono i loro obiettivi dove si radunano. In natura, un watering hole è una depressione d'acqua naturale dove gli animali assetati si avvicinano per bere. Con la guardia abbassata, diventano prede più facili per i predatori come i leoni. È un concetto simile nella cybersecurity, tranne che, invece dei grandi felini e delle gazzelle, ci sono hacker in agguato sugli utenti del web.  

Come funzionano gli attacchi watering hole?

Un attacco watering hole è quando i criminali informatici attaccano individui, gruppi o organizzazioni su un sito web che frequentano, usando abilità come hacking e ingegneria sociale. In alternativa, l'attaccante può attirare la/le vittime su un sito web che creano. Gli attacchi richiedono un'esecuzione meticolosa in tutte le quattro fasi seguenti:

1. Raccolta d'intelligence

L'attore della minaccia raccoglie informazioni tracciando le abitudini di navigazione web del loro obiettivo. Gli strumenti comuni per la raccolta di intelligence includono motori di ricerca, pagine social media, dati demografici del sito web, ingegneria sociale, spyware e keylogger. A volte, la conoscenza comune è di grande aiuto. Alla fine di questa fase, i cybercriminali hanno una lista di siti web bersaglio per un attacco watering hole.

2. Analisi

I cybercriminali analizzano la lista dei siti web in cerca di debolezze nel dominio e sottodominio che possono sfruttare. In alternativa, gli attaccanti possono creare un clone di sito web dannoso. A volte fanno entrambi - compromettono un sito web legittimo in modo da indirizzare i bersagli verso uno falso.

3. Preparazione

Gli hacker iniettano il sito web con exploit nati sul web per infettare i loro obiettivi. Tale codice può sfruttare tecnologie web come ActiveX, HTML, JavaScript, immagini e altro ancora per compromettere i browser. Per attacchi più mirati, gli attori della minaccia possono anche usare kit di exploit che permettono loro di infettare i visitatori con indirizzi IP specifici. Questi kit di exploit sono particolarmente utili quando si mirano a un'organizzazione.

4. Esecuzione

Con il watering hole pronto, gli attaccanti attendono che il malware faccia il suo lavoro. Se tutto va bene, i browser dei bersagli scaricano ed eseguono il software dannoso dal sito web. I browser web possono essere vulnerabili a exploit provenienti dal web perché di solito scaricano indiscriminatamente codice dai siti web sui computer e dispositivi locali.

Quali tecniche usano gli hacker negli attacchi watering hole?

  • Cross-site scripting (XSS): Con questo attacco di iniezione, un hacker può inserire script dannosi nel contenuto di un sito per reindirizzare gli utenti a siti web dannosi.
  • SQL Injection: Gli hacker possono usare attacchi SQL injection per rubare dati.
  • Avvelenamento della cache DNS: Conosciuto anche come spoofing DNS, gli hacker usano questa tecnica di manipolazione per inviare bersagli a pagine dannose.
  • Drive-by downloads: Gli obiettivi a un watering hole possono scaricare contenuti dannosi senza la loro conoscenza, consenso o azione in un download drive-by.
  • Malvertising: Conosciuto come malvertising, gli hacker iniettano codice dannoso nelle pubblicità in un watering hole per diffondere malware tra le loro prede.
  • Sfruttamento di zero-day: Gli attori della minaccia possono sfruttare le vulnerabilità zero-day in un sito web o browser che gli attaccanti watering hole possono usare.

Esempi di attacchi watering hole

2012: Gli hacker hanno infettato il sito web dell'American Council on Foreign Relations (CFR) attraverso un exploit Internet Explorer. Curiosamente, il watering hole ha colpito solo i browser Internet Explorer che utilizzavano certe lingue.

2013: Un attacco malware sponsorizzato dallo stato ha colpito i sistemi di controllo industriale (ICS) negli Stati Uniti e in Europa, mirato ai settori della difesa, energia, aviazione, farmaceutica e petrolchimica.

2013: Gli hacker hanno raccolto informazioni utente utilizzando il sito web del Dipartimento del Lavoro degli Stati Uniti come un watering hole.

2016: I ricercatori hanno trovato un kit di exploit su misura che bersagliava organizzazioni in oltre 31 paesi, inclusi Polonia, Stati Uniti e Messico. La fonte dell'attacco potrebbe essere stato il server web dell'Autorità di Vigilanza Finanziaria della Polonia.

2016: L'ICAO di Montreal è un punto d'accesso per quasi tutte le compagnie aeree, aeroporti e agenzie di aviazione nazionali. Corrompendo due server dell'ICAO, un hacker ha diffuso malware ad altri siti, lasciando vulnerabili i dati sensibili di 2000 utenti e membri dello staff.

2017: Il malware NotPetya ha infiltrato le reti in tutta l'Ucraina, infettando i visitatori dei siti web e cancellando i dati del loro disco rigido.

2018: I ricercatori hanno trovato una campagna watering hole chiamata OceanLotus. Questo attacco ha colpito i siti web governativi cambogiani e i siti dei media vietnamiti.

2019: I cybercriminali hanno utilizzato un pop-up di Adobe Flash dannoso per innescare un attacco drive-by download su quasi una dozzina di siti web. Chiamato Holy Water, questa attacco ha colpito siti religiosi, di beneficenza e volontariato.

2020: L'azienda americana di tecnologie informatiche SolarWinds è stata l'obiettivo di un attacco watering hole che ha richiesto mesi per essere scoperto. Gli agenti sponsorizzati dallo stato hanno usato l'attacco watering hole per spiare aziende di cybersecurity, il Dipartimento del Tesoro, la Sicurezza Interna, ecc.

2021: Il Threat Analysis Group (TAG) di Google ha scoperto diffusi attacchi watering hole che miravano ai visitatori dei siti web media e pro-democrazia a Hong Kong. L'infezione da malware installava un backdoor sugli utenti di dispositivi Apple.

Ora: Gli attacchi watering hole sono una minaccia persistente avanzata (APT) contro tutti i tipi di aziende in tutto il mondo. Purtroppo, gli hacker stanno prendendo di mira le attività commerciali al dettaglio, le imprese immobiliari e altri stabilimenti con phishing watering hole guidato da strategie di ingegneria sociale.

Attacchi watering hole vs attacchi alla catena di fornitura

Sebbene gli attacchi watering hole e quelli alla catena di fornitura possano essere simili, non sono sempre uguali. Un attacco alla catena di fornitura consegna malware tramite l'elemento più debole nella rete di un'organizzazione, come un fornitore, venditore o partner. Ad esempio, cinque aziende esterne potrebbero aver inconsapevolmente funzionato come paziente zero nell'attacco Stuxnet ai computer air-gapped dell'Iran. Un attacco alla catena di fornitura può anche usare un sito web compromesso come un watering hole, ma non è necessario.

Come proteggersi dagli attacchi watering hole

Per i consumatori, buone pratiche di cybersecurity come fare attenzione a dove si naviga e si clicca sul web, usare un buon programma antivirus e usare protezioni del browser come Malwarebytes Browser Guard sono complessivamente un buon modo per evitare attacchi watering hole. Browser Guard consente di navigare più sicuri bloccando le pagine web che contengono malware.

Per le aziende, le migliori pratiche per proteggersi dagli attacchi watering hole includono:

  • Utilizzare software di analisi malware avanzato che utilizza l'apprendimento automatico per riconoscere comportamenti dannosi su siti web ed email.
  • Testare regolarmente la soluzione di sicurezza e monitorare il traffico Internet per attività sospette.
  • Eseguire formazione agli utenti finali su strategie di mitigazione degli attacchi watering hole.
  • Usare gli aggiornamenti di sicurezza più recenti del sistema operativo e del browser per ridurre il rischio di exploit.
  • Provare a usare browser basati su cloud anziché browser locali per una maggiore sicurezza.
  • Verificare i permessi concessi ai siti web.
  • Utilizzare strumenti di Endpoint Detection and Response per Windows e Mac in modo da proteggere gli endpoint della vostra organizzazione dalle minacce malware emergenti.
  • Utilizzare risorse di cybersecurity pertinenti per saperne di più sui vettori di minacce che gli hacker usano per gli attacchi watering hole.

Notizie sugli attacchi watering hole