Wat is een watering hole-aanval?
Of je nu praat over cyberbeveiliging of de jungle, een watering hole-aanval is wanneer dreigingsactoren hun doelen aanvallen waar ze samenkomen. In het wild is een watering hole een natuurlijke waterversnelling waar dorstige dieren komen drinken. Omdat ze hun waakzaamheid laten varen, zijn ze gemakkelijker prooi voor jagers zoals leeuwen. Dit is een vergelijkbaar concept in cyberbeveiliging, behalve dat het in plaats van grote katten en gazellen gaat om hackers die computergebruikers op het web besluipen.
Hoe werken watering hole-aanvallen?
Een watering hole-aanval is wanneer cybercriminelen individuen, groepen of organisaties aanvallen op een website die ze vaak bezoeken, met behulp van vaardigheden zoals hacken en social engineering. Alternatief kan de aanvaller het slachtoffer naar een zelfgemaakte website lokken. De aanvallen vereisen een nauwkeurige uitvoering in alle vier de volgende fasen.
1. Inlichtingen verzamelen
De bedreigende actor verzamelt informatie door de surfgewoonten van zijn doelwit te volgen. Veelgebruikte hulpmiddelen voor het verzamelen van informatie zijn zoekmachines, sociale-mediapagina's, demografische gegevens van websites, social engineering, spyware en keyloggers. Soms is algemene kennis een grote hulp. Aan het einde van deze fase hebben de cybercriminelen een shortlist van websites met doelwitten die ze kunnen gebruiken voor een watering hole cyberaanval.
2. Analyse
De cybercriminelen analyseren de lijst met websites op zwakheden in domeinen en subdomeinen die ze kunnen uitbuiten. Alternatief kunnen de aanvallers een kwaadaardige kloon van een website maken. Soms doen ze beide - een legitieme website compromitteren zodat deze doelen naar een valse leidt.
3. Voorbereiding
De hackers injecteren de website met webgebaseerde exploits om hun doelwitten te infecteren. Dergelijke code kan gebruikmaken van webtechnologieën zoals ActiveX, HTML, JavaScript, afbeeldingen en meer om browsers te compromitteren. Voor meer gerichte aanvallen kunnen de dreigingsactoren ook exploitkits gebruiken waarmee ze bezoekers met specifieke IP-adressen kunnen infecteren. Deze exploitkits zijn vooral handig als ze gericht zijn op een organisatie.
4. Uitvoering
Als het watergat klaar is, wachten de aanvallers tot de malware zijn werk doet. Als alles goed gaat, downloaden de browsers van het doelwit de kwaadaardige software van de website en voeren deze uit. Webbrowsers kunnen kwetsbaar zijn voor exploits via het web omdat ze meestal lukraak code van websites downloaden naar lokale computers en apparaten.
Welke technieken gebruiken hackers bij watering hole-aanvallen?
- Cross-site scripting (XSS): Met deze injectieaanval kan een hacker kwaadaardige scripts invoegen in de inhoud van een site om gebruikers om te leiden naar kwaadaardige websites.
- SQL-injectie: Hackers kunnen SQL-injectie aanvallen gebruiken om gegevens te stelen.
- DNS-cachevergiftiging: Ook wel DNS-spoofing genoemd, gebruiken hackers deze manipulatietechniek om doelen naar kwaadaardige pagina's te sturen.
- Drive-by downloads: Doelen bij een watering hole kunnen zonder hun medeweten, toestemming of actie kwaadaardige inhoud downloaden in een drive-by download.
- Malvertising: Bij malvertising injecteren hackers kwaadaardige code in advertenties om malware te verspreiden onder hun prooi.
- Zero-day exploits: Dreigingsactoren kunnen zero-day kwetsbaarheden misbruiken in een website of browser die watering hole-aanvallers kunnen gebruiken.
Voorbeelden van watering hole-aanvallen
2012: Hackers infecteerden de website van de American Council on Foreign Relations (CFR) via een Internet Explorer-exploit. Interessant is dat de watering hole alleen Internet Explorer-browsers trof die bepaalde talen gebruikten.
2013: Een door de staat gesponsorde malware-aanval trof Industrial Control Systems (ICS) in de Verenigde Staten en Europa, gericht op de defensie-, energie-, luchtvaart-, farmaceutische en petrochemische sectoren.
2013: Hackers verzamelden gebruikersinformatie door de website van het Amerikaanse ministerie van Arbeid als een watering hole te gebruiken.
2016: Onderzoekers vonden een aangepast exploitkit gericht op organisaties in meer dan 31 landen, waaronder Polen, de Verenigde Staten en Mexico. De bron van de aanval kan de webserver van de Poolse Commissie voor Toezicht op de Finanse zijn geweest.
2016: De in Montreal gevestigde Internationale Burgerluchtvaartorganisatie (ICAO) is een toegangspoort tot bijna alle luchtvaartmaatschappijen, luchthavens en nationale luchtvaartagentschappen. Door twee van ICAO's servers te corrumperen, verspreidde een hacker malware naar andere websites, waardoor de gevoelige gegevens van 2000 gebruikers en personeel kwetsbaar werden.
2017: De NotPetya-malware infiltreerde netwerken in Oekraïne, infecteerde bezoekers van websites en verwijderde hun gegevens van de harde schijf.
2018: Onderzoekers ontdekten een watering hole-campagne genaamd OceanLotus. Deze aanval trof Cambodjaanse overheidswebsites en Vietnamese mediasites.
2019: Cybercriminelen gebruikten een kwaadaardige Adobe Flash-pop-up om een drive-by download-aanval te ontketenen op bijna een dozijn websites. Holy Water genoemd, trof deze aanval religieuze, liefdadigheids- en vrijwilligerswebsites.
2020: Het Amerikaanse informatie technologiebedrijf SolarWinds was het doelwit van een watering hole-aanval die maanden duurde om te ontdekken. Door de staat gesponsorde agenten gebruikten de watering hole-aanval om cyberspacebedrijven, het ministerie van Financiën, Homeland Security enzovoort te bespioneren.
2021: Google's Threat Analysis Group (TAG) vond wijdverspreide watering hole-aanvallen gericht op bezoekers van media en pro-democratische websites in Hongkong. De malware-infectie zou een achterdeur installeren op mensen die Apple-apparaten gebruiken.
Nu: Watering hole-aanvallen zijn een geavanceerde aanhoudende bedreiging (APT) tegen alle soorten bedrijven over de hele wereld. Helaas richten hackers zich op detailhandelaren, vastgoedbedrijven en andere bedrijven met phishing via watering holes op basis van social engineering-strategieën.
Watering hole-aanvallen versus supply chain-aanvallen
Hoewel watering hole-aanvallen en supply chain-aanvallen vergelijkbaar kunnen zijn, zijn ze niet altijd hetzelfde. Een supply chain-aanval levert malware via het zwakste punt in het netwerk van een organisatie, zoals een leverancier, verkoper of partner. Bijvoorbeeld, vijf externe bedrijven hebben mogelijk onbewust gefunctioneerd als patient zero in de Stuxnet-aanval op de luchtmachtcomputers van Iran. Een supply chain-aanval kan ook een gecompromitteerde website als watering hole gebruiken, maar dit is niet noodzakelijk.
Hoe te beschermen tegen watering hole-aanvallen
Voor consumenten zijn goede cyberbeveiligingspraktijken, zoals voorzichtig zijn met waar u op internet u en klikt, een goed antivirusprogramma gebruiken en browserbeveiliging zoals Malwarebytes Browser Guard gebruiken, samen een goede manier om watering hole-aanvallen te voorkomen. Met Browser Guard kunt u veiliger browsen door webpagina's met malware te blokkeren.
Voor bedrijven omvatten best practices om te beschermen tegen watering hole-aanvallen:
- Gebruik geavanceerde software voor malwareanalyse die machine learning gebruikt om schadelijk gedrag op websites en e-mails te herkennen.
- Test je beveiligingsoplossing regelmatig en monitor je internetverkeer op verdachte activiteiten.
- Train eindgebruikers op strategieën om watering hole-aanvallen te mitigeren.
- Gebruik de nieuwste beveiligingspatches voor besturingssystemen en browsers om het risico op exploits te verminderen.
- Probeer cloudbrowsers in plaats van lokale browsers voor betere beveiliging.
- Controleer de machtigingen die aan websites zijn gegeven.
- Gebruik Endpoint Detection and Response-tools voor Windows en Mac om eindpunten in je organisatie te beschermen tegen opkomende malwarebedreigingen.
- Gebruik relevante cyber security bronnen om meer te weten te komen over de dreigingsvectoren die hackers gebruiken voor watering hole-aanvallen.