Co to jest atak na wodopój?
Niezależnie czy mówimy o cyberbezpieczeństwie, czy o dżungli, atak na "water hole" ma miejsce, gdy aktywni zagrożenia atakują swoje ofiary tam, gdzie się gromadzą. W naturze "water hole" to naturalne miejsce z wodą, gdzie spragnione zwierzęta przychodzą pić. Bez czujności stają się łatwiejszym celem dla takich łowców jak lwy. Podobnie jest w cyberbezpieczeństwie, ale zamiast dużych kotów i gazeli, mamy hakerów polujących na użytkowników komputerów w sieci.
Jak działają ataki na wodopoje?
Atak na "water hole" ma miejsce, gdy cyberprzestępcy atakują osoby, grupy lub organizacje na stronie, którą często odwiedzają, przy użyciu umiejętności takich jak hakowanie i inżynieria społeczna. Alternatywnie, napastnik może zwabić ofiary na utworzoną przez siebie stronę. Ataki te wymagają skrupulatnej realizacji w czterech następujących fazach:
1. Gromadzenie danych wywiadowczych
Cyberprzestępca zbiera informacje, śledząc nawyki przeglądania internetu przez swoje cele. Wspólne narzędzia do zbierania danych to wyszukiwarki, strony społecznościowe, dane demograficzne stron, inżynieria społeczna, programy szpiegowskie i rejestratory klawiszy. Czasami powszechna wiedza może być dużą pomocą. Na końcu tej fazy hakerzy mają listę stron internetowych do wykorzystania w ataku "water hole".
2. Analiza
Cyberprzestępcy analizują listę stron internetowych w poszukiwaniu luk, które mogą wykorzystać. Alternatywnie napastnicy mogą stworzyć klon złośliwej strony. Czasami robią jedno i drugie – kompromitują rzeczywistą stronę, aby prowadziła cele do fałszywej.
3. Przygotowanie
Hakerzy wstrzykują do strony złośliwy kod, by zainfekować swoje cele. Taki kod może wykorzystać technologie internetowe jak ActiveX, HTML, JavaScript, obrazy i więcej, aby przechwycić przeglądarki. Do bardziej ukierunkowanych ataków, aktywni zagrożenia mogą również używać zestawów eksploitów, które pozwalają na infekowanie odwiedzających o specyficznych adresach IP. Te zestawy są szczególnie użyteczne przy skupianiu się na organizacji.
4. Wykonanie
Z przygotowanym "water hole", napastnicy czekają, aż złośliwe oprogramowanie wykona swoją pracę. Jeśli wszystko pójdzie dobrze, przeglądarki ofiar pobiorą i uruchomią złośliwe oprogramowanie ze strony. Przeglądarki są podatne na takie ataki, ponieważ zwykle bezmyślnie pobierają kod z witryn na lokalne komputery i urządzenia.
Jakich technik używają hakerzy w atakach typu watering hole?
- Cross-site scripting (XSS): Za pomocą tego ataku haker może wstawić złośliwe skrypty do treści witryny, aby przekierować użytkowników na złośliwe strony internetowe.
- Wstrzyknięcie kodu SQL: Hakerzy mogą wykorzystywać ataki SQL injection do kradzieży danych.
- Zatruwanie pamięci podręcznej DNS: Znana również jako DNS spoofing, hakerzy wykorzystują tę technikę manipulacji do wysyłania celów na złośliwe strony.
- Pobieranie drive-by download: Osoby atakowane w wodopoju mogą pobierać złośliwą zawartość bez ich wiedzy, zgody lub działania w ramach drive-by download.
- Malvertising: Znany jako malvertising, hakerzy wstrzykują złośliwy kod do reklam w wodopoju, aby rozprzestrzeniać złośliwe oprogramowanie na swoje ofiary.
- Wykorzystywanie luk typu zero-day: Podmioty stanowiące zagrożenie mogą wykorzystywać luki typu zero-day w witrynie lub przeglądarce, z których mogą korzystać atakujący.
Przykłady ataków na wodopoje
2012: Hakerzy zainfekowali stronę American Council on Foreign Relations (CFR) przy pomocy exploitu Internet Explorer. Co ciekawe, "water hole" atakował jedynie przeglądarki Internet Explorer używające określonych języków.
2013: Atak złośliwego oprogramowania, wspierany przez państwo, uderzył w Industrial Control Systems (ICS) w Stanach Zjednoczonych i Europie, celując w sektory obrony, energetyki, lotnictwa, farmaceutyczny i petrochemiczny.
2013: Hakerzy pozyskali informacje o użytkownikach, wykorzystując stronę internetową Departamentu Pracy Stanów Zjednoczonych jako wodopój.
2016: Badacze znaleźli niestandardowy zestaw eksploitów wymierzony w organizacje w ponad 31 krajach, w tym w Polsce, Stanach Zjednoczonych i Meksyku. Źródłem ataku mógł być serwer internetowy Komisji Nadzoru Finansowego w Polsce.
2016: Organizacja Międzynarodowego Lotnictwa Cywilnego (ICAO) z siedzibą w Montrealu jest bramą do niemal wszystkich linii lotniczych, lotnisk i krajowych agencji lotniczych. Uszkadzając dwa serwery ICAO, haker rozprzestrzenił złośliwe oprogramowanie na inne strony internetowe, narażając wrażliwe dane 2000 użytkowników i pracowników.
2017: Złośliwe oprogramowanie NotPetya przeniknęło do sieci na całej Ukrainie, infekując odwiedzających strony internetowe i usuwając dane z ich dysków twardych.
2018: Badacze odkryli kampanię wodopoju o nazwie OceanLotus. Atak ten dotknął kambodżańskie strony rządowe i wietnamskie strony medialne.
2019 : Cyberprzestępcy wykorzystali złośliwe wyskakujące okienko Adobe Flash do wywołania ataku drive-by download na prawie tuzin stron internetowych. Atak ten, nazwany Holy Water, uderzył w strony religijne, charytatywne i wolontariackie.
2020: Amerykańska firma informatyczna SolarWinds była celem ataku typu "watering hole", którego ujawnienie zajęło kilka miesięcy. Sponsorowani przez państwo agenci wykorzystali ten atak do szpiegowania firm zajmujących się cyberbezpieczeństwem, Departamentu Skarbu, Homeland Security itp.
2021: Grupa Google ds. analizy zagrożeń (TAG) wykryła szeroko zakrojone ataki typu "watering hole" wymierzone w osoby odwiedzające media i prodemokratyczne strony internetowe w Hongkongu. Infekcja złośliwym oprogramowaniem instalowała backdoora na urządzeniach Apple.
Teraz: Ataki typu "watering hole" są zaawansowanym, trwałym zagrożeniem (APT ) wymierzonym we wszystkie rodzaje firm na całym świecie. Niestety, hakerzy atakują firmy detaliczne, firmy zajmujące się nieruchomościami i inne instytucje za pomocą phishingu opartego na strategiach inżynierii społecznej.
Ataki typu "watering hole" a ataki na łańcuch dostaw
Chociaż ataki typu "watering hole" i ataki na łańcuch dostaw mogą być podobne, nie zawsze są takie same. Atak na łańcuch dostaw dostarcza złośliwe oprogramowanie poprzez najsłabszy element w sieci organizacji, taki jak dostawca, sprzedawca lub partner. Na przykład, pięć firm zewnętrznych mogło nieświadomie funkcjonować jako pacjent zero w ataku Stuxnet na irańskie komputery. Atak na łańcuch dostaw może również wykorzystywać zaatakowaną stronę internetową jako wodopój, ale nie jest to konieczne.
Jak chronić się przed atakami typu "watering hole
Dla konsumentów dobre praktyki w zakresie cyberbezpieczeństwa, takie jak ostrożność podczas przeglądania i klikania w sieci, używanie dobrego programu antywirusowego i korzystanie z ochrony przeglądarki, takiej jak Malwarebytes Browser Guard , są łącznie dobrym sposobem na uniknięcie ataków typu watering hole. Browser Guard umożliwia bezpieczniejsze przeglądanie stron internetowych poprzez blokowanie stron zawierających złośliwe oprogramowanie.
W przypadku firm najlepsze praktyki ochrony przed atakami typu "watering hole" obejmują:
- Korzystaj z zaawansowanego oprogramowania do analizy złośliwego oprogramowania, które wykorzystuje uczenie maszynowe do rozpoznawania złośliwych zachowań na stronach internetowych i w wiadomościach e-mail.
- Regularnie testuj swoje rozwiązanie bezpieczeństwa i monitoruj ruch internetowy pod kątem podejrzanej aktywności.
- Szkolenie użytkowników końcowych w zakresie strategii łagodzenia ataków typu "watering hole".
- Korzystaj z najnowszych poprawek zabezpieczeń systemu operacyjnego i przeglądarki, aby zmniejszyć ryzyko ataków.
- Wypróbuj przeglądarki w chmurze zamiast przeglądarek lokalnych, aby zwiększyć bezpieczeństwo.
- Uprawnienia do audytu nadawane stronom internetowym.
- Korzystaj z narzędzi Endpoint Detection and Response dla Windows i Mac , aby chronić punkty końcowe w swojej organizacji przed pojawiającymi się zagrożeniami złośliwym oprogramowaniem.
- Skorzystaj z odpowiednich zasobów cyberbezpieczeństwa, aby dowiedzieć się więcej o wektorach zagrożeń wykorzystywanych przez hakerów do ataków typu watering hole.