Watering hole aanval

Bij een watering hole-aanval infecteren cybercriminelen een website waarvan ze weten dat hun beoogde slachtoffers die zullen bezoeken.

.st0{fill:#0D3ECC;} MALWAREBYTES GRATIS DOWNLOADEN

Ook voor Windows, iOS, Android, Chromebook en Voor bedrijven

Wat is een waterpoelaanval?

Of het nu u's over cyberbeveiliging of de jungle gaat, een watering hole-aanval is wanneer bedreigingsactoren hun doelwitten treffen waar ze samenkomen. In het wild is een drinkplaats een natuurlijke waterplas waar dorstige dieren komen drinken. Als ze niet op hun hoede zijn, zijn ze een makkelijkere prooi voor jagers zoals leeuwen. Het is een vergelijkbaar concept in cyberbeveiliging, behalve dat in plaats van grote katten en gazellen, het hackers zijn die computergebruikers op het web stalken.  

Hoe werken watering hole-aanvallen?

Bij een watering hole-aanval vallen cybercriminelen individuen, groepen of organisaties aan op een website die ze vaak bezoeken, waarbij ze vaardigheden als hacking en social engineering gebruiken. De aanvaller kan ook slachtoffers naar een door hem gemaakte website lokken. De aanvallen vereisen een nauwgezette uitvoering in alle vier de volgende fasen:

1. Inlichtingen verzamelen

De bedreigende actor verzamelt informatie door de surfgewoonten van zijn doelwit te volgen. Veelgebruikte hulpmiddelen voor het verzamelen van informatie zijn zoekmachines, sociale-mediapagina's, demografische gegevens van websites, social engineering, spyware en keyloggers. Soms is algemene kennis een grote hulp. Aan het einde van deze fase hebben de cybercriminelen een shortlist van websites met doelwitten die ze kunnen gebruiken voor een watering hole cyberaanval.

2. Analyse

De cybercriminelen analyseren de lijst met websites op zwakke plekken in domeinen en subdomeinen die ze kunnen uitbuiten. De aanvallers kunnen ook een kwaadaardige kloon van een website maken. Soms doen ze beide - ze compromitteren een legitieme website zodat deze doelen naar een nepwebsite leidt.

3. Voorbereiding

De hackers injecteren de website met webgebaseerde exploits om hun doelwitten te infecteren. Dergelijke code kan gebruikmaken van webtechnologieën zoals ActiveX, HTML, JavaScript, afbeeldingen en meer om browsers te compromitteren. Voor meer gerichte aanvallen kunnen de dreigingsactoren ook exploitkits gebruiken waarmee ze bezoekers met specifieke IP-adressen kunnen infecteren. Deze exploitkits zijn vooral handig als ze gericht zijn op een organisatie.

4. Uitvoering

Als het watergat klaar is, wachten de aanvallers tot de malware zijn werk doet. Als alles goed gaat, downloaden de browsers van het doelwit de kwaadaardige software van de website en voeren deze uit. Webbrowsers kunnen kwetsbaar zijn voor exploits via het web omdat ze meestal lukraak code van websites downloaden naar lokale computers en apparaten.

Welke technieken gebruiken hackers bij watering hole-aanvallen?

  • Cross-site scripting (XSS): Met deze injectieaanval kan een hacker schadelijke scripts invoegen in de inhoud van een site om gebruikers om te leiden naar schadelijke websites.
  • SQL-injectie: Hackers kunnen SQL-injectie aanvallen gebruiken om gegevens te stelen.
  • DNS cache-vergiftiging: Ook bekend als DNS spoofing, hackers gebruiken deze manipulatietechniek om doelwitten naar kwaadaardige pagina's te sturen.
  • Drive-by downloads: Doelwitten bij een waterpoel kunnen schadelijke inhoud downloaden zonder dat ze het weten, zonder toestemming of zonder actie te ondernemen in een drive-by download.
  • Malvertising: Bij malvertising injecteren hackers kwaadaardige code in advertenties om malware te verspreiden onder hun prooi.
  • Uitbuiting van zero-day's: Bedreigingsactoren kunnen gebruikmaken van zero-day kwetsbaarheden in een website of browser die watering hole-aanvallers kunnen gebruiken.

Watering hole aanval voorbeelden

2012: Hackers infecteerden de website van de Amerikaanse Raad voor Buitenlandse Betrekkingen (CFR) via een Internet Explorer-exploit. Interessant is dat het lek alleen Internet Explorer-browsers trof die bepaalde talen gebruikten.

2013: Een door de staat gesponsorde malware-aanval treft industriële besturingssystemen (ICS) in de Verenigde Staten en Europa, gericht op defensie, energie, luchtvaart, farmaceutische en petrochemische sectoren.

2013: Hackers verzamelden gebruikersinformatie door de website van het Amerikaanse ministerie van Arbeid te gebruiken als waterpoel.

2016: Onderzoekers vonden een aangepaste exploit kit gericht op organisaties in meer dan 31 landen, waaronder Polen, de Verenigde Staten en Mexico. De bron van de aanval was mogelijk de webserver van de Poolse autoriteit voor financieel toezicht.

2016: De in Montreal gevestigde Internationale Burgerluchtvaartorganisatie (ICAO) is een toegangspoort tot bijna alle luchtvaartmaatschappijen, luchthavens en nationale luchtvaartagentschappen. Door twee van ICAO's servers te beschadigen, verspreidde een hacker malware naar andere websites, waardoor de gevoelige gegevens van 2000 gebruikers en medewerkers kwetsbaar werden.

2017: De NotPetya-malware infiltreerde netwerken in Oekraïne, infecteerde bezoekers van websites en verwijderde hun gegevens van de harde schijf.

2018: Onderzoekers vonden een watering hole-campagne met de naam OceanLotus. Deze aanval trof websites van de Cambodjaanse overheid en Vietnamese mediasites.

2019: Cybercriminelen gebruikten een schadelijke Adobe Flash pop-up om een drive-by download aanval uit te voeren op bijna een dozijn websites. Deze aanval met de naam Holy Water trof religieuze, liefdadigheids- en vrijwilligerswebsites.

2020: Het Amerikaanse informatietechnologiebedrijf SolarWinds was het doelwit van een watering hole-aanval die pas na maanden aan het licht kwam. Door de staat gesponsorde agenten gebruikten de watering hole-aanval om cyberbeveiligingsbedrijven, het ministerie van Financiën, Homeland Security, enz. te bespioneren.

2021: Google's Threat Analysis Group (TAG) vond wijdverspreide watering hole-aanvallen gericht op bezoekers van media en pro-democratische websites in Hongkong. De malware-infectie zou een achterdeur installeren op mensen die Apple-apparaten gebruiken.

Nu: Watering hole-aanvallen zijn een geavanceerde aanhoudende bedreiging (APT) tegen alle soorten bedrijven wereldwijd. Helaas richten hackers zich op detailhandelaren, vastgoedbedrijven en andere bedrijven met phishing via watering holes op basis van social engineering-strategieën.

Watering hole-aanvallen vs. aanvallen op de toeleveringsketen

Hoewel watering hole-aanvallen en supply chain-aanvallen op elkaar kunnen lijken, zijn ze niet altijd hetzelfde. Een aanval op de toeleveringsketen levert malware via het zwakste element in het netwerk van een organisatie, zoals een leverancier, verkoper of partner. Vijf externe bedrijven kunnen bijvoorbeeld onbewust hebben gefungeerd als 'patiënt zero' in de Stuxnet-aanval op de in de lucht geplaatste computers van Iran. Een aanval op de toeleveringsketen kan ook een gecompromitteerde website gebruiken als waterpijp, maar dit is niet noodzakelijk.

Hoe beschermen tegen watering hole-aanvallen

Voor consumenten zijn goede cyberbeveiligingspraktijken, zoals voorzichtig zijn met waar u surfen en klikken op het web, het gebruik van een goed antivirusprogramma en het gebruik van browserbescherming zoals Malwarebytes Browser Guard , samen een goede manier om watering hole-aanvallen te voorkomen. Browser Guard stelt u in staat veiliger te browsen door webpagina's met malware te blokkeren.

Best practices voor bedrijven om zich te beschermen tegen watering hole-aanvallen zijn onder andere:

  • Gebruik geavanceerde software voor malwareanalyse die machine learning gebruikt om schadelijk gedrag op websites en e-mails te herkennen.
  • Test uw beveiligingsoplossing regelmatig en controleer uw internetverkeer op verdachte activiteiten.
  • Train eindgebruikers over strategieën om watering hole-aanvallen te beperken.
  • Gebruik de nieuwste beveiligingspatches voor besturingssystemen en browsers om het risico op exploits te verkleinen.
  • Probeer cloudbrowsers in plaats van lokale browsers voor betere beveiliging.
  • Controleer machtigingen die aan websites worden gegeven.
  • Gebruik Endpoint Detection and Response tools voor Windows en Mac om endpoints in uw organisatie te beschermen tegen opkomende malwarebedreigingen.
  • Gebruik relevante bronnen op het gebied van cyberbeveiliging om meer te leren over de bedreigingsvectoren die hackers gebruiken voor watering hole-aanvallen.

Nieuws over aanvallen op waterpijpen