Co to jest atak na wodopój?
Niezależnie od tego, czy mówimy o cyberbezpieczeństwie, czy o dżungli, atak na wodopój polega na tym, że podmioty zagrażające atakują swoje cele tam, gdzie się gromadzą. W naturze wodopój to naturalne zagłębienie wody, do którego spragnione zwierzęta przychodzą się napić. Z opuszczoną gardą są łatwiejszym łupem dla myśliwych, takich jak lwy. Jest to podobna koncepcja w cyberbezpieczeństwie, z tym wyjątkiem, że zamiast wielkich kotów i gazeli, to hakerzy prześladują użytkowników komputerów w sieci.
Jak działają ataki na wodopoje?
Atak typu "watering hole" ma miejsce, gdy cyberprzestępcy atakują osoby, kohorty lub organizacje na często odwiedzanej stronie internetowej, wykorzystując umiejętności takie jak hakowanie i inżynieria społeczna. Alternatywnie, atakujący może zwabić ofiary na stworzoną przez siebie stronę internetową. Ataki te wymagają skrupulatnego wykonania wszystkich czterech poniższych faz:
1. Gromadzenie danych wywiadowczych
Podmiot stanowiący zagrożenie gromadzi dane wywiadowcze poprzez śledzenie nawyków przeglądania stron internetowych przez cel ataku. Typowe narzędzia do gromadzenia danych wywiadowczych obejmują wyszukiwarki, strony mediów społecznościowych, dane demograficzne witryn internetowych, inżynierię społeczną, oprogramowanie szpiegujące i keyloggery. Czasami powszechna wiedza jest bardzo pomocna. Pod koniec tego etapu cyberprzestępcy mają krótką listę celów, które mogą wykorzystać do cyberataku typu "watering hole".
2. Analiza
Cyberprzestępcy analizują listę stron internetowych pod kątem słabości domen i subdomen, które mogą wykorzystać. Alternatywnie, atakujący mogą stworzyć klon złośliwej witryny. Czasami robią jedno i drugie - kompromitują legalną stronę internetową, tak aby prowadziła do fałszywej.
3. Przygotowanie
Hakerzy wstrzykują na stronę internetową exploity sieciowe, aby zainfekować swoje cele. Taki kod może wykorzystywać technologie internetowe, takie jak ActiveX, HTML, JavaScript, obrazy i inne, aby zagrozić przeglądarkom. W przypadku bardziej ukierunkowanych ataków aktorzy zagrożeń mogą również korzystać z zestawów exploitów, które pozwalają im infekować odwiedzających z określonymi adresami IP. Te zestawy exploitów są szczególnie przydatne, gdy koncentrują się na organizacji.
4. Wykonanie
Po przygotowaniu wodopoju atakujący czekają, aż złośliwe oprogramowanie wykona swoją pracę. Jeśli wszystko pójdzie dobrze, przeglądarki celu pobierają i uruchamiają złośliwe oprogramowanie ze strony internetowej. Przeglądarki internetowe mogą być podatne na exploity internetowe, ponieważ zazwyczaj bezkrytycznie pobierają kod ze stron internetowych na lokalne komputery i urządzenia.
Jakich technik używają hakerzy w atakach typu watering hole?
- Cross-site scripting (XSS): Za pomocą tego ataku haker może wstawić złośliwe skrypty do treści witryny, aby przekierować użytkowników na złośliwe strony internetowe.
- Wstrzyknięcie kodu SQL: Hakerzy mogą wykorzystywać ataki SQL injection do kradzieży danych.
- Zatruwanie pamięci podręcznej DNS: Znana również jako DNS spoofing, hakerzy wykorzystują tę technikę manipulacji do wysyłania celów na złośliwe strony.
- Pobieranie drive-by download: Osoby atakowane w wodopoju mogą pobierać złośliwą zawartość bez ich wiedzy, zgody lub działania w ramach drive-by download.
- Malvertising: Znany jako malvertising, hakerzy wstrzykują złośliwy kod do reklam w wodopoju, aby rozprzestrzeniać złośliwe oprogramowanie na swoje ofiary.
- Wykorzystywanie luk typu zero-day: Podmioty stanowiące zagrożenie mogą wykorzystywać luki typu zero-day w witrynie lub przeglądarce, z których mogą korzystać atakujący.
Przykłady ataków na wodopoje
2012: Hakerzy zainfekowali stronę internetową Amerykańskiej Rady Stosunków Zagranicznych (CFR) poprzez exploit w Internet Explorerze. Co ciekawe, luka dotyczyła tylko przeglądarek Internet Explorer, które korzystały z określonych języków.
2013: Sponsorowany przez państwo atak złośliwego oprogramowania uderzył w przemysłowe systemy kontroli (ICS) w Stanach Zjednoczonych i Europie, atakując sektory obronny, energetyczny, lotniczy, farmaceutyczny i petrochemiczny.
2013: Hakerzy pozyskali informacje o użytkownikach, wykorzystując stronę internetową Departamentu Pracy Stanów Zjednoczonych jako wodopój.
2016: Badacze znaleźli niestandardowy zestaw exploitów wymierzony w organizacje w ponad 31 krajach, w tym w Polsce, Stanach Zjednoczonych i Meksyku. Źródłem ataku mógł być serwer internetowy Komisji Nadzoru Finansowego.
2016: Organizacja Międzynarodowego Lotnictwa Cywilnego (ICAO) z siedzibą w Montrealu jest bramą do niemal wszystkich linii lotniczych, lotnisk i krajowych agencji lotniczych. Uszkadzając dwa serwery ICAO, haker rozprzestrzenił złośliwe oprogramowanie na inne strony internetowe, narażając wrażliwe dane 2000 użytkowników i pracowników.
2017: Złośliwe oprogramowanie NotPetya przeniknęło do sieci na całej Ukrainie, infekując odwiedzających strony internetowe i usuwając dane z ich dysków twardych.
2018: Badacze odkryli kampanię wodopoju o nazwie OceanLotus. Atak ten dotknął kambodżańskie strony rządowe i wietnamskie strony medialne.
2019 : Cyberprzestępcy wykorzystali złośliwe wyskakujące okienko Adobe Flash do wywołania ataku drive-by download na prawie tuzin stron internetowych. Atak ten, nazwany Holy Water, uderzył w strony religijne, charytatywne i wolontariackie.
2020: Amerykańska firma informatyczna SolarWinds była celem ataku typu "watering hole", którego ujawnienie zajęło kilka miesięcy. Sponsorowani przez państwo agenci wykorzystali ten atak do szpiegowania firm zajmujących się cyberbezpieczeństwem, Departamentu Skarbu, Homeland Security itp.
2021: Grupa Google ds. analizy zagrożeń (TAG) wykryła szeroko zakrojone ataki typu "watering hole" wymierzone w osoby odwiedzające media i prodemokratyczne strony internetowe w Hongkongu. Infekcja złośliwym oprogramowaniem instalowała backdoora na urządzeniach Apple.
Teraz: Ataki typu "watering hole" są zaawansowanym, trwałym zagrożeniem (APT ) wymierzonym we wszystkie rodzaje firm na całym świecie. Niestety, hakerzy atakują firmy detaliczne, firmy zajmujące się nieruchomościami i inne instytucje za pomocą phishingu opartego na strategiach inżynierii społecznej.
Ataki typu "watering hole" a ataki na łańcuch dostaw
Chociaż ataki typu "watering hole" i ataki na łańcuch dostaw mogą być podobne, nie zawsze są takie same. Atak na łańcuch dostaw dostarcza złośliwe oprogramowanie poprzez najsłabszy element w sieci organizacji, taki jak dostawca, sprzedawca lub partner. Na przykład, pięć firm zewnętrznych mogło nieświadomie funkcjonować jako pacjent zero w ataku Stuxnet na irańskie komputery. Atak na łańcuch dostaw może również wykorzystywać zaatakowaną stronę internetową jako wodopój, ale nie jest to konieczne.
Jak chronić się przed atakami typu "watering hole
Dla konsumentów dobre praktyki w zakresie cyberbezpieczeństwa, takie jak ostrożność podczas przeglądania i klikania w sieci, używanie dobrego programu antywirusowego i korzystanie z ochrony przeglądarki, takiej jak Malwarebytes Browser Guard , są łącznie dobrym sposobem na uniknięcie ataków typu watering hole. Browser Guard umożliwia bezpieczniejsze przeglądanie stron internetowych poprzez blokowanie stron zawierających złośliwe oprogramowanie.
W przypadku firm najlepsze praktyki ochrony przed atakami typu "watering hole" obejmują:
- Korzystaj z zaawansowanego oprogramowania do analizy złośliwego oprogramowania, które wykorzystuje uczenie maszynowe do rozpoznawania złośliwych zachowań na stronach internetowych i w wiadomościach e-mail.
- Regularnie testuj swoje rozwiązanie bezpieczeństwa i monitoruj ruch internetowy pod kątem podejrzanej aktywności.
- Szkolenie użytkowników końcowych w zakresie strategii łagodzenia ataków typu "watering hole".
- Korzystaj z najnowszych poprawek zabezpieczeń systemu operacyjnego i przeglądarki, aby zmniejszyć ryzyko ataków.
- Wypróbuj przeglądarki w chmurze zamiast przeglądarek lokalnych, aby zwiększyć bezpieczeństwo.
- Uprawnienia do audytu nadawane stronom internetowym.
- Korzystaj z narzędzi Endpoint Detection and Response dla Windows i Mac , aby chronić punkty końcowe w swojej organizacji przed pojawiającymi się zagrożeniami złośliwym oprogramowaniem.
- Skorzystaj z odpowiednich zasobów cyberbezpieczeństwa, aby dowiedzieć się więcej o wektorach zagrożeń wykorzystywanych przez hakerów do ataków typu watering hole.
Wiadomości o atakach na wodopoje
- Nowe złośliwe oprogramowanie Mac rodzi więcej pytań o poprawki bezpieczeństwa Apple.
- Aktualizacja już teraz! Apple łata kolejny błąd eskalacji uprawnień w iOS i iPadOS
- Zaktualizuj teraz! Chrome łata błąd typu zero-day, który został wykorzystany na wolności
- 6 sposobów, w jakie hakerzy atakują firmy detaliczne