Czym jest atak na wodopój?
Niezależnie czy mówimy o cyberbezpieczeństwie, czy o dżungli, atak na "water hole" ma miejsce, gdy aktywni zagrożenia atakują swoje ofiary tam, gdzie się gromadzą. W naturze "water hole" to naturalne miejsce z wodą, gdzie spragnione zwierzęta przychodzą pić. Bez czujności stają się łatwiejszym celem dla takich łowców jak lwy. Podobnie jest w cyberbezpieczeństwie, ale zamiast dużych kotów i gazeli, mamy hakerów polujących na użytkowników komputerów w sieci.
Jak działają ataki na wodopoje?
Atak na "water hole" ma miejsce, gdy cyberprzestępcy atakują osoby, grupy lub organizacje na stronie, którą często odwiedzają, przy użyciu umiejętności takich jak hakowanie i inżynieria społeczna. Alternatywnie, napastnik może zwabić ofiary na utworzoną przez siebie stronę. Ataki te wymagają skrupulatnej realizacji w czterech następujących fazach:
1. Gromadzenie danych wywiadowczych
Podmiot stanowiący zagrożenie gromadzi dane wywiadowcze poprzez śledzenie nawyków przeglądania stron internetowych przez cel ataku. Typowe narzędzia do gromadzenia danych wywiadowczych obejmują wyszukiwarki, strony mediów społecznościowych, dane demograficzne witryn internetowych, inżynierię społeczną, oprogramowanie szpiegujące i keyloggery. Czasami powszechna wiedza jest bardzo pomocna. Pod koniec tego etapu cyberprzestępcy mają krótką listę celów, które mogą wykorzystać do cyberataku typu "watering hole".
2. Analiza
Cyberprzestępcy analizują listę stron internetowych w poszukiwaniu luk, które mogą wykorzystać. Alternatywnie napastnicy mogą stworzyć klon złośliwej strony. Czasami robią jedno i drugie – kompromitują rzeczywistą stronę, aby prowadziła cele do fałszywej.
3. Przygotowanie
hackers wstrzykują na stronę internetową exploity sieciowe, aby zainfekować swoje cele. Taki kod może wykorzystywać technologie internetowe, takie jak ActiveX, HTML, JavaScript, obrazy i inne, aby zagrozić przeglądarkom. W przypadku bardziej ukierunkowanych ataków aktorzy zagrożeń mogą również korzystać z zestawów exploitów, które pozwalają im infekować odwiedzających z określonymi adresami IP. Te zestawy exploitów są szczególnie przydatne, gdy koncentrują się na organizacji.
4. Wykonanie
Po przygotowaniu wodopoju atakujący czekają, aż złośliwe oprogramowanie wykona swoją pracę. Jeśli wszystko pójdzie dobrze, przeglądarki celu pobierają i uruchamiają złośliwe oprogramowanie ze strony internetowej. Przeglądarki internetowe mogą być podatne na exploity internetowe, ponieważ zazwyczaj bezkrytycznie pobierają kod ze stron internetowych na lokalne komputery i urządzenia.
Jakich technik używają hackers w atakach typu watering hole?
- Cross-site scripting (XSS): W przypadku tego atakuhacker może wstawić złośliwe skrypty do treści witryny, aby przekierować użytkowników na złośliwe strony internetowe.
- Wstrzyknięcie kodu SQL: Hackers mogą wykorzystywać ataki SQL injection do kradzieży danych.
- Zatruwanie pamięci podręcznej DNS: Znana również jako DNS spoofing, hackers wykorzystują tę technikę manipulacji do wysyłania celów na złośliwe strony.
- Pobieranie drive-by download: Osoby atakowane w wodopoju mogą pobierać złośliwą zawartość bez ich wiedzy, zgody lub działania w ramach drive-by download.
- Malvertising: Znany jako malvertising, hackers wstrzykują złośliwy kod do reklam w wodopoju, aby rozprzestrzeniać złośliwe oprogramowanie na swoje ofiary.
- Wykorzystywanie luk typu zero-day: Podmioty stanowiące zagrożenie mogą wykorzystywać luki typu zero-day w witrynie lub przeglądarce, z których mogą korzystać atakujący.
Przykłady ataków na wodopoje
2012: Hakerzy zainfekowali stronę American Council on Foreign Relations (CFR) przy pomocy exploitu Internet Explorer. Co ciekawe, "water hole" atakował jedynie przeglądarki Internet Explorer używające określonych języków.
2013: Atak złośliwego oprogramowania, wspierany przez państwo, uderzył w Industrial Control Systems (ICS) w Stanach Zjednoczonych i Europie, celując w sektory obrony, energetyki, lotnictwa, farmaceutyczny i petrochemiczny.
2013: Hackers pozyskali informacje o użytkownikach, wykorzystując stronę internetową Departamentu Pracy Stanów Zjednoczonych jako wodopój.
2016: Badacze znaleźli niestandardowy zestaw eksploitów wymierzony w organizacje w ponad 31 krajach, w tym w Polsce, Stanach Zjednoczonych i Meksyku. Źródłem ataku mógł być serwer internetowy Komisji Nadzoru Finansowego w Polsce.
2016: Organizacja Międzynarodowego Lotnictwa Cywilnego (ICAO) z siedzibą w Montrealu jest bramą do niemal wszystkich linii lotniczych, lotnisk i krajowych agencji lotniczych. Uszkadzając dwa serwery ICAO, hacker rozprzestrzenił złośliwe oprogramowanie na inne strony internetowe, narażając wrażliwe dane 2000 użytkowników i pracowników.
2017: Złośliwe oprogramowanie NotPetya przeniknęło do sieci na całej Ukrainie, infekując odwiedzających strony internetowe i usuwając dane z ich dysków twardych.
2018: Badacze odkryli kampanię wodopoju o nazwie OceanLotus. Atak ten dotknął kambodżańskie strony rządowe i wietnamskie strony medialne.
2019: Cyberprzestępcy wykorzystali złośliwe wyskakujące okienko Adobe Flash do wywołania ataku drive-by download na prawie tuzin stron internetowych. Atak ten, nazwany Holy Water, uderzył w strony religijne, charytatywne i wolontariackie.
2020: Amerykańska firma informatyczna SolarWinds była celem ataku typu "watering hole", którego ujawnienie zajęło kilka miesięcy. Sponsorowani przez państwo agenci wykorzystali ten atak do szpiegowania firm zajmujących się cyberbezpieczeństwem, Departamentu Skarbu, Bezpieczeństwa Wewnętrznego itp.
2021: Grupa Google ds. analizy zagrożeń (TAG) wykryła szeroko zakrojone ataki typu "watering hole" wymierzone w osoby odwiedzające media i prodemokratyczne strony internetowe w Hongkongu. Infekcja złośliwym oprogramowaniem instalowała backdoora na urządzeniach Apple.
Teraz: Ataki typu "watering hole" są zaawansowanym, trwałym zagrożeniem (APT ) wymierzonym we wszystkie rodzaje firm na całym świecie. Niestety, hackers atakują firmy detaliczne, firmy zajmujące się nieruchomościami i inne instytucje za pomocą phishingu opartego na strategiach inżynierii społecznej.
Ataki typu "watering hole" a ataki na łańcuch dostaw
Chociaż ataki typu "watering hole" i ataki na łańcuch dostaw mogą być podobne, nie zawsze są takie same. Atak na łańcuch dostaw dostarcza złośliwe oprogramowanie poprzez najsłabszy element w sieci organizacji, taki jak dostawca, sprzedawca lub partner. Na przykład, pięć firm zewnętrznych mogło nieświadomie funkcjonować jako pacjent zero w ataku Stuxnet na irańskie komputery. Atak na łańcuch dostaw może również wykorzystywać zaatakowaną stronę internetową jako wodopój, ale nie jest to konieczne.
Jak chronić się przed atakami typu "watering hole
Dla konsumentów dobre praktyki w zakresie cyberbezpieczeństwa, takie jak ostrożność podczas przeglądania i klikania w sieci, korzystanie z dobrego programu antywirusowego i korzystanie z ochrony przeglądarki, takiej jak Malwarebytes Browser Guard Guard, są łącznie dobrym sposobem na uniknięcie ataków typu "watering hole". Browser Guard umożliwia bezpieczniejsze przeglądanie sieci poprzez blokowanie stron internetowych zawierających złośliwe oprogramowanie.
W przypadku firm najlepsze praktyki ochrony przed atakami typu "watering hole" obejmują:
- Korzystaj z zaawansowanego oprogramowania do analizy złośliwego oprogramowania, które wykorzystuje uczenie maszynowe do rozpoznawania złośliwych zachowań na stronach internetowych i w wiadomościach e-mail.
- Regularnie testuj swoje rozwiązanie bezpieczeństwa i monitoruj ruch internetowy pod kątem podejrzanej aktywności.
- Szkolenie użytkowników końcowych w zakresie strategii łagodzenia ataków typu "watering hole".
- Korzystaj z najnowszych poprawek zabezpieczeń systemu operacyjnego i przeglądarki, aby zmniejszyć ryzyko ataków.
- Wypróbuj przeglądarki w chmurze zamiast przeglądarek lokalnych, aby zwiększyć bezpieczeństwo.
- Uprawnienia do audytu nadawane stronom internetowym.
- Korzystaj z narzędzi Endpoint Detection and Response dla systemów Windows i Mac , aby chronić punkty końcowe w swojej organizacji przed pojawiającymi się zagrożeniami złośliwym oprogramowaniem.
- Skorzystaj z odpowiednich zasobów cyberbezpieczeństwa, aby dowiedzieć się więcej o wektorach zagrożeń wykorzystywanych przez hackers do ataków typu watering hole.