Attacco al watering hole

Un attacco watering hole è quando i criminali informatici infettano un sito web che le loro vittime intendono visitare.

.st0{fill:#0D3ECC;} DOWNLOAD GRATUITAMENTEMALWAREBYTES

Anche per Windows, iOS, Android, Chromebook e Per il Business

Cos'è un attacco watering hole?

Che si parli di cybersecurity o della giungla, un attacco watering hole è quando gli attori della minaccia colpiscono i loro obiettivi dove si radunano. In natura, un watering hole è una depressione d'acqua naturale dove gli animali assetati si avvicinano per bere. Con la guardia abbassata, diventano prede più facili per i predatori come i leoni. È un concetto simile nella cybersecurity, tranne che, invece dei grandi felini e delle gazzelle, ci sono hacker in agguato sugli utenti del web.  

Come funzionano gli attacchi watering hole?

Un attacco watering hole è quando i criminali informatici attaccano individui, gruppi o organizzazioni su un sito web che frequentano, usando abilità come hacking e ingegneria sociale. In alternativa, l'attaccante può attirare la/le vittime su un sito web che creano. Gli attacchi richiedono un'esecuzione meticolosa in tutte le quattro fasi seguenti:

1. Raccolta d'intelligence

L'attore della minaccia raccoglie informazioni tracciando le abitudini di navigazione sul Web dell'obiettivo. Gli strumenti più comuni per la raccolta di informazioni sono i motori di ricerca, le pagine dei social media, i dati demografici dei siti web, l'ingegneria sociale, lo spyware e i keylogger. A volte, le conoscenze comuni sono di grande aiuto. Al termine di questa fase, i criminali informatici dispongono di una lista ristretta di obiettivi da utilizzare per un attacco informatico di tipo watering hole.

2. Analisi

I cybercriminali analizzano la lista dei siti web in cerca di debolezze nel dominio e sottodominio che possono sfruttare. In alternativa, gli attaccanti possono creare un clone di sito web dannoso. A volte fanno entrambi - compromettono un sito web legittimo in modo da indirizzare i bersagli verso uno falso.

3. Preparazione

Gli hackers iniettano nel sito web exploit di origine web per infettare i loro obiettivi. Tale codice può sfruttare tecnologie web come ActiveX, HTML, JavaScript, immagini e altro ancora per compromettere i browser. Per attacchi più mirati, gli attori delle minacce possono anche utilizzare kit di exploit che consentono di infettare i visitatori con indirizzi IP specifici. Questi kit di exploit sono particolarmente utili quando si concentrano su un'organizzazione.

4. Esecuzione

Con l'acquario pronto, gli aggressori attendono che il malware faccia il suo lavoro. Se tutto va bene, i browser dell'obiettivo download ed eseguono il software dannoso dal sito web. I browser web possono essere vulnerabili agli exploit di origine web perché di solito download indiscriminatamente download codice dai siti web ai computer e ai dispositivi locali.

Quali tecniche usano gli hacker negli attacchi watering hole?

  • Cross-site scripting (XSS): Con questo attacco di tipo injection, un hacker può inserire script dannosi nel contenuto di un sito per reindirizzare gli utenti a siti web dannosi.
  • Iniezione SQL: Hackers possono utilizzare attacchi di tipo SQL injection per rubare i dati.
  • Avvelenamento della cache DNS: Conosciuto anche come spoofing DNS, gli hacker usano questa tecnica di manipolazione per inviare bersagli a pagine dannose.
  • Drive-by downloads: Gli obiettivi a un watering hole possono scaricare contenuti dannosi senza la loro conoscenza, consenso o azione in un download drive-by.
  • Malvertising: Conosciuto come malvertising, gli hackers iniettano codice dannoso negli annunci pubblicitari di un punto di ristoro per diffondere malware alle loro prede.
  • Sfruttamento di zero-day: Gli attori della minaccia possono sfruttare le vulnerabilità zero-day in un sito web o browser che gli attaccanti watering hole possono usare.

Esempi di attacchi watering hole

2012: Gli hacker hanno infettato il sito web dell'American Council on Foreign Relations (CFR) attraverso un exploit Internet Explorer. Curiosamente, il watering hole ha colpito solo i browser Internet Explorer che utilizzavano certe lingue.

2013: Un attacco malware sponsorizzato dallo stato ha colpito i sistemi di controllo industriale (ICS) negli Stati Uniti e in Europa, mirato ai settori della difesa, energia, aviazione, farmaceutica e petrolchimica.

2013: Gli hacker hanno raccolto informazioni utente utilizzando il sito web del Dipartimento del Lavoro degli Stati Uniti come un watering hole.

2016: I ricercatori hanno trovato un kit di exploit su misura che bersagliava organizzazioni in oltre 31 paesi, inclusi Polonia, Stati Uniti e Messico. La fonte dell'attacco potrebbe essere stato il server web dell'Autorità di Vigilanza Finanziaria della Polonia.

2016: L'ICAO di Montreal è un punto d'accesso per quasi tutte le compagnie aeree, aeroporti e agenzie di aviazione nazionali. Corrompendo due server dell'ICAO, un hacker ha diffuso malware ad altri siti, lasciando vulnerabili i dati sensibili di 2000 utenti e membri dello staff.

2017: Il malware NotPetya si è infiltrato nelle reti di tutta l'Ucraina, infettando i visitatori dei siti web e cancellando i loro dati sul disco rigido.

2018: I ricercatori hanno trovato una campagna watering hole chiamata OceanLotus. Questo attacco ha colpito i siti web governativi cambogiani e i siti dei media vietnamiti.

2019: I cybercriminali hanno utilizzato un pop-up di Adobe Flash dannoso per innescare un attacco drive-by download su quasi una dozzina di siti web. Chiamato Holy Water, questa attacco ha colpito siti religiosi, di beneficenza e volontariato.

2020: L'azienda americana di tecnologie informatiche SolarWinds è stata l'obiettivo di un attacco watering hole che ha richiesto mesi per essere scoperto. Gli agenti sponsorizzati dallo stato hanno usato l'attacco watering hole per spiare aziende di cybersecurity, il Dipartimento del Tesoro, la Sicurezza Interna, ecc.

2021: Il Threat Analysis Group (TAG) di Google ha rilevato attacchi diffusi di tipo watering hole rivolti ai visitatori di siti web di media e pro-democrazia a Hong Kong. L'infezione da malware installerebbe una backdoor su chi utilizza dispositivi Apple.

Ora: Gli attacchi watering hole sono una minaccia persistente avanzata (APT) contro tutti i tipi di aziende in tutto il mondo. Sfortunatamente, gli hackers stanno prendendo di mira le attività di vendita al dettaglio, le società immobiliari e altre strutture con il phishing watering hole guidato da strategie di social engineering.

Attacchi watering hole vs attacchi alla catena di fornitura

Sebbene gli attacchi watering hole e quelli alla catena di fornitura possano essere simili, non sono sempre uguali. Un attacco alla catena di fornitura consegna malware tramite l'elemento più debole nella rete di un'organizzazione, come un fornitore, venditore o partner. Ad esempio, cinque aziende esterne potrebbero aver inconsapevolmente funzionato come paziente zero nell'attacco Stuxnet ai computer air-gapped dell'Iran. Un attacco alla catena di fornitura può anche usare un sito web compromesso come un watering hole, ma non è necessario.

Come proteggersi dagli attacchi watering hole

Per i consumatori, le buone pratiche di cybersicurezza, come fare attenzione a dove si naviga e si fa clic sul web, usare un buon programma antivirus e utilizzare una protezione del browser come Malwarebytes Browser Guard sono nel complesso un buon modo per evitare gli attacchi watering hole. Browser Guard consente di navigare in modo più sicuro bloccando le pagine web che contengono malware.

Per le aziende, le migliori pratiche per proteggersi dagli attacchi watering hole includono:

  • Utilizzate un software avanzato di analisi delle minacce informatiche che utilizza l'apprendimento automatico per riconoscere i comportamenti dannosi nei siti web e nelle e-mail.
  • Testare regolarmente la soluzione di sicurezza e monitorare il traffico Internet per attività sospette.
  • Eseguire formazione agli utenti finali su strategie di mitigazione degli attacchi watering hole.
  • Usare gli aggiornamenti di sicurezza più recenti del sistema operativo e del browser per ridurre il rischio di exploit.
  • Provate i browser cloud invece di quelli locali per una maggiore sicurezza.
  • Verificare i permessi concessi ai siti web.
  • Utilizzare strumenti di Endpoint Detection and Response per Windows e Mac in modo da proteggere gli endpoint della vostra organizzazione dalle minacce malware emergenti.
  • Utilizzare risorse di cybersecurity pertinenti per saperne di più sui vettori di minacce che gli hacker usano per gli attacchi watering hole.

Notizie sugli attacchi watering hole