Wat is een watering hole-aanval?
Of je nu praat over cyberbeveiliging of de jungle, een watering hole-aanval is wanneer dreigingsactoren hun doelen aanvallen waar ze samenkomen. In het wild is een watering hole een natuurlijke waterversnelling waar dorstige dieren komen drinken. Omdat ze hun waakzaamheid laten varen, zijn ze gemakkelijker prooi voor jagers zoals leeuwen. Dit is een vergelijkbaar concept in cyberbeveiliging, behalve dat het in plaats van grote katten en gazellen gaat om hackers die computergebruikers op het web besluipen.
Hoe werken watering hole-aanvallen?
Een watering hole-aanval is wanneer cybercriminelen individuen, groepen of organisaties aanvallen op een website die ze vaak bezoeken, met behulp van vaardigheden zoals hacken en social engineering. Alternatief kan de aanvaller het slachtoffer naar een zelfgemaakte website lokken. De aanvallen vereisen een nauwkeurige uitvoering in alle vier de volgende fasen.
1. Inlichtingen verzamelen
De dreigingsactor verzamelt inlichtingen door de webbrowsegewoonten van hun doelwit te volgen. Veelgebruikte tools voor het verzamelen van inlichtingen zijn zoekmachines, sociale mediapagina's, demografische gegevens van websites, social engineering, spyware en keyloggers. Soms is algemene kennis een grote hulp. Aan het einde van deze fase hebben de cybercriminelen een shortlist van doelwebsites voor een watering hole-aanval.
2. Analyse
De cybercriminelen analyseren de lijst met websites op zwakheden in domeinen en subdomeinen die ze kunnen uitbuiten. Alternatief kunnen de aanvallers een kwaadaardige kloon van een website maken. Soms doen ze beide - een legitieme website compromitteren zodat deze doelen naar een valse leidt.
3. Voorbereiding
De hackers injecteren de website met webgeboren exploits om hun doelen te infecteren. Dergelijke code kan webtechnologieën als ActiveX, HTML, JavaScript, afbeeldingen en meer misbruiken om browsers te compromitteren. Voor meer gerichte aanvallen kunnen de dreigingsactoren ook exploidkits gebruiken waarmee ze bezoekers met specifieke IP-adressen kunnen infecteren. Deze exploitkits zijn bijzonder nuttig bij het richten op een organisatie.
4. Uitvoering
Met de watering hole gereed wachten de aanvallers tot de malware zijn werk doet. Als alles goed gaat, downloaden en draaien de browsers van het doelwit de kwaadaardige software van de website. Webbrowsers kunnen kwetsbaar zijn voor webgeboren exploits omdat ze gewoonlijk onverschillig code van websites naar lokale computers en apparaten downloaden.
Welke technieken gebruiken hackers bij watering hole-aanvallen?
- Cross-site scripting (XSS): Met deze injectieaanval kan een hacker kwaadaardige scripts in inhoud van een site plaatsen om gebruikers om te leiden naar kwaadaardige websites.
- SQL Injection: Hackers kunnen SQL-injectieaanvallen gebruiken om gegevens te stelen.
- DNS-cachevergiftiging: Ook wel DNS-spoofing genoemd, gebruiken hackers deze manipulatietechniek om doelen naar kwaadaardige pagina's te sturen.
- Drive-by downloads: Doelen bij een watering hole kunnen zonder hun medeweten, toestemming of actie kwaadaardige inhoud downloaden in een drive-by download.
- Malvertising: Bekend als malvertising, injecteren hackers kwaadaardige code in advertenties bij een watering hole om malware te verspreiden naar hun prooi.
- Zero-day exploits: Dreigingsactoren kunnen zero-day kwetsbaarheden misbruiken in een website of browser die watering hole-aanvallers kunnen gebruiken.
Voorbeelden van watering hole-aanvallen
2012: Hackers infecteerden de website van de American Council on Foreign Relations (CFR) via een Internet Explorer-exploit. Interessant is dat de watering hole alleen Internet Explorer-browsers trof die bepaalde talen gebruikten.
2013: Een door de staat gesponsorde malware-aanval trof Industrial Control Systems (ICS) in de Verenigde Staten en Europa, gericht op de defensie-, energie-, luchtvaart-, farmaceutische en petrochemische sectoren.
2013: Hackers verzamelden gebruikersinformatie door de website van het Amerikaanse ministerie van Arbeid als een watering hole te gebruiken.
2016: Onderzoekers vonden een aangepast exploitkit gericht op organisaties in meer dan 31 landen, waaronder Polen, de Verenigde Staten en Mexico. De bron van de aanval kan de webserver van de Poolse Commissie voor Toezicht op de Finanse zijn geweest.
2016: De in Montreal gevestigde Internationale Burgerluchtvaartorganisatie (ICAO) is een toegangspoort tot bijna alle luchtvaartmaatschappijen, luchthavens en nationale luchtvaartagentschappen. Door twee van ICAO's servers te corrumperen, verspreidde een hacker malware naar andere websites, waardoor de gevoelige gegevens van 2000 gebruikers en personeel kwetsbaar werden.
2017: De NotPetya-malware infiltreerde netwerken in Oekraïne, infecteerde websitebezoekers en verwijderde hun harde schijfgegevens.
2018: Onderzoekers ontdekten een watering hole-campagne genaamd OceanLotus. Deze aanval trof Cambodjaanse overheidswebsites en Vietnamese mediasites.
2019: Cybercriminelen gebruikten een kwaadaardige Adobe Flash-pop-up om een drive-by download-aanval te ontketenen op bijna een dozijn websites. Holy Water genoemd, trof deze aanval religieuze, liefdadigheids- en vrijwilligerswebsites.
2020: Het Amerikaanse informatie technologiebedrijf SolarWinds was het doelwit van een watering hole-aanval die maanden duurde om te ontdekken. Door de staat gesponsorde agenten gebruikten de watering hole-aanval om cyberspacebedrijven, het ministerie van Financiën, Homeland Security enzovoort te bespioneren.
2021: Google’s Threat Analysis Group (TAG) vond wijdverspreide watering hole-aanvallen gericht op bezoekers van media- en pro-democratie websites in Hong Kong. De malware-infectie zou een achterdeur installeren op mensen die Apple-apparaten gebruiken.
Nu: Watering hole-aanvallen zijn een advanced persistent threat (APT) tegen alle soorten bedrijven wereldwijd. Helaas richten hackers zich op retailbedrijven, vastgoedbedrijven en andere instellingen met watering hole-phishing aangedreven door social engineering strategieën.
Watering hole-aanvallen versus supply chain-aanvallen
Hoewel watering hole-aanvallen en supply chain-aanvallen vergelijkbaar kunnen zijn, zijn ze niet altijd hetzelfde. Een supply chain-aanval levert malware via het zwakste punt in het netwerk van een organisatie, zoals een leverancier, verkoper of partner. Bijvoorbeeld, vijf externe bedrijven hebben mogelijk onbewust gefunctioneerd als patient zero in de Stuxnet-aanval op de luchtmachtcomputers van Iran. Een supply chain-aanval kan ook een gecompromitteerde website als watering hole gebruiken, maar dit is niet noodzakelijk.
Hoe te beschermen tegen watering hole-aanvallen
Voor consumenten zijn goede praktijken op het gebied van cyberbeveiliging, zoals voorzichtig zijn met waar je surft en klikt op het web, het gebruik van een goed antivirusprogramma en het gebruik van browserbescherming zoals Malwarebytes Browser Guard gezamenlijk een goede manier om watering hole-aanvallen te voorkomen. Browser Guard stelt je in staat veiliger te browsen door webpagina's die malware bevatten te blokkeren.
Voor bedrijven omvatten best practices om te beschermen tegen watering hole-aanvallen:
- Gebruik geavanceerde malware-analysetools die machine learning gebruiken om kwaadaardig gedrag op websites en e-mails te herkennen.
- Test je beveiligingsoplossing regelmatig en monitor je internetverkeer op verdachte activiteiten.
- Train eindgebruikers op strategieën om watering hole-aanvallen te mitigeren.
- Gebruik de nieuwste beveiligingspatches voor besturingssystemen en browsers om het risico op exploits te verminderen.
- Probeer cloudbrowsers in plaats van lokale browsers voor betere beveiliging.
- Controleer de machtigingen die aan websites zijn gegeven.
- Gebruik Endpoint Detection and Response-tools voor Windows en Mac om eindpunten in je organisatie te beschermen tegen opkomende malwarebedreigingen.
- Gebruik relevante cyber security bronnen om meer te weten te komen over de dreigingsvectoren die hackers gebruiken voor watering hole-aanvallen.