Atak na wodopój

Atak na "water hole" to sytuacja, gdy cyberprzestępcy atakują stronę internetową, którą odwiedzą ich zamierzone ofiary.

.st0{fill:#0D3ECC;} POBIERZ MALWAREBYTES ZA DARMO

Także dla Windows, iOS, Android, Chromebook i Dla Biznesu

Czym jest atak na wodopój?

Niezależnie od tego, czy mowa o cyberbezpieczeństwie, czy o dżungli, atak typu „watering hole” polega na tym, że osoby stanowiące zagrożenie atakują swoje cele tam, gdzie się one gromadzą. W naturze „watering hole” to naturalne zagłębienie terenu, do którego przychodzą pić spragnione zwierzęta. Nie zwracając uwagi na otoczenie, stają się one łatwym łupem dla drapieżników, takich jak lwy. Podobna koncepcja obowiązuje w cyberbezpieczeństwie, z tą różnicą, że zamiast wielkich kotów i gazeli mamy do czynienia z hackers polują na użytkowników komputerów w sieci.  

Jak działają ataki na wodopoje?

Atak na "water hole" ma miejsce, gdy cyberprzestępcy atakują osoby, grupy lub organizacje na stronie, którą często odwiedzają, przy użyciu umiejętności takich jak hakowanie i inżynieria społeczna. Alternatywnie, napastnik może zwabić ofiary na utworzoną przez siebie stronę. Ataki te wymagają skrupulatnej realizacji w czterech następujących fazach:

1. Gromadzenie danych wywiadowczych

Cyberprzestępca zbiera informacje, śledząc nawyki przeglądania internetu przez swoje cele. Wspólne narzędzia do zbierania danych to wyszukiwarki, strony społecznościowe, dane demograficzne stron, inżynieria społeczna, programy szpiegowskie i rejestratory klawiszy. Czasami powszechna wiedza może być dużą pomocą. Na końcu tej fazy hakerzy mają listę stron internetowych do wykorzystania w ataku "water hole".

2. Analiza

Cyberprzestępcy analizują listę stron internetowych w poszukiwaniu luk, które mogą wykorzystać. Alternatywnie napastnicy mogą stworzyć klon złośliwej strony. Czasami robią jedno i drugie – kompromitują rzeczywistą stronę, aby prowadziła cele do fałszywej.

3. Przygotowanie

Hakerzy wstrzykują do strony złośliwy kod, by zainfekować swoje cele. Taki kod może wykorzystać technologie internetowe jak ActiveX, HTML, JavaScript, obrazy i więcej, aby przechwycić przeglądarki. Do bardziej ukierunkowanych ataków, aktywni zagrożenia mogą również używać zestawów eksploitów, które pozwalają na infekowanie odwiedzających o specyficznych adresach IP. Te zestawy są szczególnie użyteczne przy skupianiu się na organizacji.

4. Wykonanie

Po przygotowaniu „wodopoju” atakujący czekają, aż złośliwe oprogramowanie wykona swoje zadanie. Jeśli wszystko pójdzie zgodnie z planem, przeglądarki ofiary pobierają i uruchamiają złośliwe oprogramowanie ze strony internetowej. Przeglądarki internetowe mogą być podatne na ataki internetowe, ponieważ zazwyczaj bezkrytycznie pobierają kod ze stron internetowych na lokalne komputery i urządzenia.

Jakich technik używają hackers w atakach typu watering hole?

  • Cross-site scripting (XSS): Za pomocą tego ataku hacker może wstawić złośliwe skrypty do treści witryny, aby przekierować użytkowników na złośliwe strony internetowe.
  • Wstrzyknięcie kodu SQL: Hackers mogą wykorzystywać ataki SQL injection do kradzieży danych.
  • Zatruwanie pamięci podręcznej DNS: Znana również jako DNS spoofing, hackers wykorzystują tę technikę manipulacji do wysyłania celów na złośliwe strony.
  • Pobieranie drive-by download: Osoby atakowane w wodopoju mogą pobierać złośliwą zawartość bez ich wiedzy, zgody lub działania w ramach drive-by download.
  • Malvertising: Znany jako malvertising, hackers wstrzykują złośliwy kod do reklam w wodopoju, aby rozprzestrzeniać złośliwe oprogramowanie na swoje ofiary.
  • Wykorzystywanie luk typu zero-day: Podmioty stanowiące zagrożenie mogą wykorzystywać luki typu zero-day w witrynie lub przeglądarce, z których mogą korzystać atakujący.

Przykłady ataków na wodopoje

2012: Hakerzy zainfekowali stronę American Council on Foreign Relations (CFR) przy pomocy exploitu Internet Explorer. Co ciekawe, "water hole" atakował jedynie przeglądarki Internet Explorer używające określonych języków.

2013: Atak złośliwego oprogramowania, wspierany przez państwo, uderzył w Industrial Control Systems (ICS) w Stanach Zjednoczonych i Europie, celując w sektory obrony, energetyki, lotnictwa, farmaceutyczny i petrochemiczny.

2013: Hackers pozyskali informacje o użytkownikach, wykorzystując stronę internetową Departamentu Pracy Stanów Zjednoczonych jako wodopój.

2016: Badacze znaleźli niestandardowy zestaw eksploitów wymierzony w organizacje w ponad 31 krajach, w tym w Polsce, Stanach Zjednoczonych i Meksyku. Źródłem ataku mógł być serwer internetowy Komisji Nadzoru Finansowego w Polsce.

2016: Organizacja Międzynarodowego Lotnictwa Cywilnego (ICAO) z siedzibą w Montrealu jest bramą do niemal wszystkich linii lotniczych, lotnisk i krajowych agencji lotniczych. Uszkadzając dwa serwery ICAO, hacker rozprzestrzenił złośliwe oprogramowanie na inne strony internetowe, narażając wrażliwe dane 2000 użytkowników i pracowników.

2017: Złośliwe oprogramowanie NotPetya przeniknęło do sieci na całej Ukrainie, infekując odwiedzających strony internetowe i usuwając dane z ich dysków twardych.

2018: Badacze odkryli kampanię wodopoju o nazwie OceanLotus. Atak ten dotknął kambodżańskie strony rządowe i wietnamskie strony medialne.

2019: Cyberprzestępcy wykorzystali złośliwe wyskakujące okienko Adobe Flash do wywołania ataku drive-by download na prawie tuzin stron internetowych. Atak ten, nazwany Holy Water, uderzył w strony religijne, charytatywne i wolontariackie.

2020: Amerykańska firma informatyczna SolarWinds była celem ataku typu "watering hole", którego ujawnienie zajęło kilka miesięcy. Sponsorowani przez państwo agenci wykorzystali ten atak do szpiegowania firm zajmujących się cyberbezpieczeństwem, Departamentu Skarbu, Bezpieczeństwa Wewnętrznego itp.

2021: Grupa Google ds. analizy zagrożeń (TAG) wykryła szeroko zakrojone ataki typu "watering hole" wymierzone w osoby odwiedzające media i prodemokratyczne strony internetowe w Hongkongu. Infekcja złośliwym oprogramowaniem instalowała backdoora na urządzeniach Apple.

Teraz: Ataki typu "watering hole" są zaawansowanym, trwałym zagrożeniem (APT ) wymierzonym we wszystkie rodzaje firm na całym świecie. Niestety, hackers atakują firmy detaliczne, firmy zajmujące się nieruchomościami i inne instytucje za pomocą phishingu opartego na strategiach inżynierii społecznej.

Ataki typu "watering hole" a ataki na łańcuch dostaw

Chociaż ataki typu "watering hole" i ataki na łańcuch dostaw mogą być podobne, nie zawsze są takie same. Atak na łańcuch dostaw dostarcza złośliwe oprogramowanie poprzez najsłabszy element w sieci organizacji, taki jak dostawca, sprzedawca lub partner. Na przykład, pięć firm zewnętrznych mogło nieświadomie funkcjonować jako pacjent zero w ataku Stuxnet na irańskie komputery. Atak na łańcuch dostaw może również wykorzystywać zaatakowaną stronę internetową jako wodopój, ale nie jest to konieczne.

Jak chronić się przed atakami typu "watering hole

Dla konsumentów dobre praktyki w zakresie cyberbezpieczeństwa, takie jak ostrożność podczas przeglądania i klikania w sieci, korzystanie z dobrego programu antywirusowego i korzystanie z ochrony przeglądarki, takiej jak Malwarebytes Browser Guard Guard, są łącznie dobrym sposobem na uniknięcie ataków typu "watering hole". Browser Guard umożliwia bezpieczniejsze przeglądanie sieci poprzez blokowanie stron internetowych zawierających złośliwe oprogramowanie.

W przypadku firm najlepsze praktyki ochrony przed atakami typu "watering hole" obejmują:

  • Korzystaj z zaawansowanego oprogramowania do analizy złośliwego oprogramowania, które wykorzystuje uczenie maszynowe do rozpoznawania złośliwych zachowań na stronach internetowych i w wiadomościach e-mail.
  • Regularnie testuj swoje rozwiązanie bezpieczeństwa i monitoruj ruch internetowy pod kątem podejrzanej aktywności.
  • Szkolenie użytkowników końcowych w zakresie strategii łagodzenia ataków typu "watering hole".
  • Korzystaj z najnowszych poprawek zabezpieczeń systemu operacyjnego i przeglądarki, aby zmniejszyć ryzyko ataków.
  • Wypróbuj przeglądarki w chmurze zamiast przeglądarek lokalnych, aby zapewnić większe bezpieczeństwo.
  • Uprawnienia do audytu nadawane stronom internetowym.
  • Korzystaj z narzędzi Endpoint Detection and Response dla systemów Windows i Mac , aby chronić punkty końcowe w swojej organizacji przed pojawiającymi się zagrożeniami złośliwym oprogramowaniem.
  • Skorzystaj z odpowiednich zasobów cyberbezpieczeństwa, aby dowiedzieć się więcej o wektorach zagrożeń wykorzystywanych przez hackers do ataków typu watering hole.

Wiadomości o atakach na wodopoje