O que é um ataque a um "watering hole"?
Quer se trate de cibersegurança ou da selva, um ataque do tipo "watering hole" é quando os agentes da ameaça atacam os seus alvos onde eles se reúnem. Na natureza, um bebedouro é uma depressão natural de água onde os animais sedentos vêm beber. Com a guarda baixa, são presas mais fáceis para caçadores como os leões. É um conceito semelhante no domínio da cibersegurança, só que, em vez de grandes felinos e gazelas, são os piratas informáticos que perseguem os utilizadores de computadores na Web.
Como é que funcionam os ataques aos charcos?
Um ataque watering hole é quando os cibercriminosos atacam indivíduos, coortes ou organizações num sítio Web que estes frequentam, utilizando técnicas como a pirataria informática e a engenharia social. Em alternativa, o atacante pode atrair a(s) vítima(s) para um sítio Web criado por si. Os ataques requerem uma execução meticulosa nas quatro fases seguintes:
1. Recolha de informações
O agente da ameaça recolhe informações seguindo os hábitos de navegação na Web do seu alvo. As ferramentas comuns para a recolha de informações incluem motores de busca, páginas de redes sociais, dados demográficos de sítios Web, engenharia social, spyware e keyloggers. Por vezes, o conhecimento comum é uma grande ajuda. No final desta fase, os cibercriminosos têm uma lista restrita de alvos a utilizar para um ciberataque do tipo "watering hole".
2. Análise
Os cibercriminosos analisam a lista de sítios Web em busca de fragilidades de domínio e subdomínio que possam explorar. Em alternativa, os atacantes podem criar um clone de um sítio Web malicioso. Por vezes, fazem as duas coisas - comprometem um sítio Web legítimo para que este conduza os alvos a um sítio falso.
3. Preparação
Os piratas informáticos injectam o sítio Web com exploits da Web para infetar os seus alvos. Esse código pode explorar tecnologias Web como ActiveX, HTML, JavaScript, imagens e outras para comprometer os navegadores. Para ataques mais direcionados, os agentes da ameaça podem também utilizar kits de exploração que lhes permitem infetar visitantes com endereços IP específicos. Estes kits de exploração são particularmente úteis quando se pretende atacar uma organização.
4. Execução
Com o charco pronto, os atacantes esperam que o malware faça o seu trabalho. Se tudo correr bem, os navegadores do alvo descarregam e executam o software malicioso do sítio Web. Os navegadores Web podem ser vulneráveis a exploits da Web porque normalmente descarregam indiscriminadamente código de sítios Web para computadores e dispositivos locais.
Que técnicas é que os hackers utilizam nos ataques watering hole?
- Cross-site scripting (XSS): Com este ataque de injeção, um hacker pode inserir scripts maliciosos no conteúdo de um site para redirecionar os utilizadores para sites maliciosos.
- Injeção de SQL: Os piratas informáticos podem utilizar ataques de injeção de SQL para roubar dados.
- Envenenamento da cache DNS: Também conhecido como DNS spoofing, os piratas informáticos utilizam esta técnica de manipulação para enviar os alvos para páginas maliciosas.
- Descarregamentos automáticos: Os alvos de um bar podem descarregar conteúdo malicioso sem o seu conhecimento, consentimento ou ação num descarregamento drive-by.
- Malvertising: Conhecido como malvertising, os piratas informáticos injectam código malicioso nos anúncios de um bar para espalhar malware nas suas presas.
- Exploração de dia zero: Os agentes de ameaças podem explorar vulnerabilidades de dia zero num sítio Web ou navegador que os atacantes podem utilizar.
Exemplos de ataques de watering hole
2012: Os piratas informáticos infectaram o sítio Web do Conselho Americano de Relações Externas (CFR) através de uma exploração do Internet Explorer. Curiosamente, a falha só atingiu os navegadores do Internet Explorer que utilizavam determinados idiomas.
2013: Um ataque de malware patrocinado pelo Estado atingiu os Sistemas de Controlo Industrial (ICS) nos Estados Unidos e na Europa, visando os sectores da defesa, energia, aviação, farmacêutico e petroquímico.
2013: Os piratas informáticos recolheram informações dos utilizadores utilizando o sítio Web do Departamento do Trabalho dos Estados Unidos como ponto de encontro.
2016: Os investigadores encontraram um kit de exploração personalizado que visava organizações em mais de 31 países, incluindo a Polónia, os Estados Unidos e o México. A fonte do ataque pode ter sido o servidor Web da Autoridade de Supervisão Financeira da Polónia.
2016: A Organização da Aviação Civil Internacional (ICAO), sediada em Montreal, é a porta de entrada para quase todas as companhias aéreas, aeroportos e agências nacionais de aviação. Ao corromper dois dos servidores da ICAO, um pirata informático espalhou malware para outros sítios Web, deixando vulneráveis os dados sensíveis de 2000 utilizadores e membros do pessoal.
2017: O malware NotPetya infiltrou-se nas redes da Ucrânia, infectando os visitantes dos sítios Web e eliminando os dados dos seus discos rígidos.
2018: Os investigadores descobriram uma campanha de ataque chamada OceanLotus. Este ataque atingiu os sítios Web do governo cambojano e os sítios dos meios de comunicação social vietnamitas.
2019: Os cibercriminosos utilizaram um pop-up malicioso do Adobe Flash para desencadear um ataque drive-by download em quase uma dúzia de sítios Web. Denominado Holy Water, este ataque atingiu sítios Web religiosos, de beneficência e de voluntariado.
2020: A empresa americana de tecnologias de informação SolarWinds foi alvo de um ataque "watering hole" que demorou meses a ser descoberto. Agentes patrocinados pelo Estado utilizaram o ataque watering hole para espiar empresas de cibersegurança, o Departamento do Tesouro, a Segurança Interna, etc.
2021: O Grupo de Análise de Ameaças (TAG) da Google detectou ataques generalizados de watering hole dirigidos a visitantes de sítios Web dos meios de comunicação social e pró-democracia em Hong Kong. A infeção por malware instalava uma backdoor em pessoas que utilizavam dispositivos Apple.
Atualmente: Os ataques watering hole são uma ameaça persistente avançada (APT) contra todos os tipos de empresas em todo o mundo. Infelizmente, os piratas informáticos estão a visar empresas de retalho, empresas imobiliárias e outros estabelecimentos com phishing watering hole impulsionado por estratégias de engenharia social.
Ataques de "watering hole" versus ataques à cadeia de abastecimento
Embora os ataques de watering hole e os ataques à cadeia de abastecimento possam ser semelhantes, nem sempre são a mesma coisa. Um ataque à cadeia de abastecimento fornece malware através do elemento mais fraco da rede de uma organização, como um fornecedor, vendedor ou parceiro. Por exemplo, cinco empresas externas podem ter funcionado involuntariamente como paciente zero no ataque Stuxnet aos computadores do Irão com portas de ar. Um ataque à cadeia de abastecimento pode também utilizar um sítio Web comprometido como ponto de acesso, mas tal não é necessário.
Como se proteger contra ataques de watering hole
Para os consumidores, as boas práticas de cibersegurança, como ter cuidado onde se navega e clica na Web, utilizar um bom programa antivírus e utilizar a proteção do navegador, como o Malwarebytes Browser Guard são coletivamente uma boa forma de evitar ataques de watering hole. Browser Guard permite-lhe navegar de forma mais segura, bloqueando as páginas Web que contêm malware.
Para as empresas, as melhores práticas de proteção contra ataques de watering hole incluem
- Utilizar software avançado de análise de malware que utiliza a aprendizagem automática para reconhecer comportamentos maliciosos em sítios Web e mensagens de correio eletrónico.
- Teste regularmente a sua solução de segurança e monitorize o tráfego da Internet para detetar actividades suspeitas.
- Formar os utilizadores finais em estratégias de mitigação de ataques watering hole.
- Utilize os patches de segurança mais recentes do sistema operativo e do browser para reduzir o risco de explorações.
- Experimente navegadores na nuvem em vez de navegadores locais para uma melhor segurança.
- Permissões de auditoria que são dadas aos sítios Web.
- Utilize ferramentas de Deteção e Resposta de Pontos Finais para Windows e Mac para proteger os pontos finais da sua organização contra ameaças emergentes de malware.
- Utilize recursos de cibersegurança relevantes para saber mais sobre os vectores de ameaça que os hackers utilizam para ataques de watering hole.
Notícias sobre ataques a bares
- Novo malware Mac levanta mais questões sobre as correcções de segurança da Apple
- Atualização imediata! Apple corrige outra falha de escalada de privilégios no iOS e iPadOS
- Atualizar agora! Chrome corrige o dia zero que foi explorado em estado selvagem
- 6 formas como os hackers estão a atacar as empresas de retalho