Что такое атака на "водопой"?
Неважно, идет ли речь о кибербезопасности или о джунглях, атака на водопой - это когда субъекты угроз поражают свои цели в местах их скопления. В дикой природе водопой - это естественная впадина с водой, куда приходят попить измученные жаждой животные. Ослабив бдительность, они становятся легкой добычей для таких охотников, как львы. Похожая концепция существует и в сфере кибербезопасности, только вместо больших кошек и газелей это хакеры, преследующие пользователей компьютеров в Интернете.
Как работают атаки на "водопой"?
Атака на "водопой" - это когда киберпреступники атакуют отдельных людей, группы или организации на часто посещаемом ими сайте, используя такие навыки, как взлом и социальная инженерия. Или же злоумышленник может заманить жертву на созданный им сайт. Такие атаки требуют тщательного выполнения всех четырех следующих этапов:
1. Сбор разведданных
Угрожающий агент собирает информацию, отслеживая привычки пользователя в Интернете. Обычно для сбора информации используются поисковые системы, страницы в социальных сетях, демографические данные веб-сайтов, социальная инженерия, шпионские программы и кейлоггеры. Иногда очень помогают обычные знания. В конце этого этапа у киберпреступников есть список сайтов-целей, которые можно использовать для кибератаки на водопой.
2. Анализ
Злоумышленники анализируют список сайтов на предмет слабых мест в доменах и поддоменах, которые они могут использовать. Кроме того, злоумышленники могут создать клон вредоносного сайта. Иногда они делают и то, и другое - компрометируют легитимный сайт, чтобы он вел на фальшивый.
3. Подготовка
Хакеры внедряют на сайт веб-эксплойты, чтобы заразить свои цели. Такой код может использовать такие веб-технологии, как ActiveX, HTML, JavaScript, изображения и другие, чтобы скомпрометировать браузеры. Для более целенаправленных атак субъекты угроз могут также использовать наборы эксплойтов, которые позволяют заражать посетителей с определенными IP-адресами. Такие наборы эксплойтов особенно полезны, когда речь идет об организации.
4. Исполнение
Подготовив "водопой", злоумышленники ждут, пока вредоносная программа выполнит свою работу. Если все идет хорошо, браузеры злоумышленников загружают и запускают вредоносное ПО с веб-сайта. Веб-браузеры могут быть уязвимы для веб-эксплойтов, поскольку они обычно без разбора загружают код с веб-сайтов на локальные компьютеры и устройства.
Какие приемы используют хакеры при атаках на "водяные дыры"?
- Межсайтовый скриптинг (XSS): С помощью этой атаки хакер может вставить вредоносные скрипты в содержимое сайта, чтобы перенаправить пользователей на вредоносные сайты.
- Инъекция SQL: Хакеры могут использовать атаки SQL-инъекций для кражи данных.
- Отравление кэша DNS: Также известная как подмена DNS, хакеры используют эту технику манипуляции для отправки целей на вредоносные страницы.
- Посторонние загрузки: Цели, находящиеся на водопое, могут загружать вредоносное содержимое без их ведома, согласия или действий в режиме " загрузки за рулем".
- Малвертайзинг: Хакеры, известные как malvertising, внедряют вредоносный код в рекламу на водопое, чтобы распространить вредоносное ПО среди своей жертвы.
- Эксплуатация "нулевого дня": Угрожающие субъекты могут использовать уязвимости "нулевого дня" в веб-сайте или браузере, которыми могут воспользоваться злоумышленники.
Примеры атак на "водяные дыры
2012: Хакеры заразили сайт Американского совета по международным отношениям (CFR) с помощью эксплойта для Internet Explorer. Интересно, что "дыра" поражала только те браузеры Internet Explorer, которые использовали определенные языки.
2013: Атака вредоносного ПО, спонсируемая государством, поразила промышленные системы управления (ICS) в США и Европе, нацелившись на оборонный, энергетический, авиационный, фармацевтический и нефтехимический секторы.
2013: Хакеры собирали информацию о пользователях, используя в качестве "водопоя" сайт Министерства труда США.
2016: Исследователи обнаружили пользовательский набор эксплойтов, нацеленный на организации в более чем 31 стране, включая Польшу, США и Мексику. Источником атаки мог быть веб-сервер польского Управления финансового надзора.
2016: Международная организация гражданской авиации (ICAO), расположенная в Монреале, является воротами почти для всех авиакомпаний, аэропортов и национальных авиационных агентств. Повредив два сервера ICAO, хакер распространил вредоносное ПО на другие сайты, оставив уязвимыми конфиденциальные данные 2000 пользователей и сотрудников.
2017: Вредоносная программа NotPetya проникала в сети по всей Украине, заражая посетителей сайтов и удаляя данные с их жестких дисков.
2018: Исследователи обнаружили кампанию-"водопой" под названием OceanLotus. Эта атака затронула правительственные сайты Камбоджи и сайты вьетнамских СМИ.
2019: Киберпреступники использовали вредоносное всплывающее окно Adobe Flash, чтобы запустить атаку методом "дискретной загрузки" почти на дюжину веб-сайтов. Атака, получившая название "Святая вода", затронула религиозные, благотворительные и волонтерские сайты.
2020: Американская компания SolarWinds, специализирующаяся на информационных технологиях, стала объектом атаки "водяной дыры", на раскрытие которой ушло несколько месяцев. Агенты, спонсируемые государством, использовали атаку "водяная дыра" для шпионажа за компаниями, занимающимися кибербезопасностью, Министерством финансов, Министерством внутренних дел Security и т. д.
2021: Группа анализа угроз (Threat Analysis Group, TAG) компании Google обнаружила широкомасштабные атаки на посетителей СМИ и продемократических сайтов в Гонконге. Вредоносное ПО устанавливало бэкдор на устройствах Apple.
Сейчас: Атаки с использованием "водяных дыр" - это современная постоянная угроза (APT), направленная на все виды бизнеса по всему миру. К сожалению, хакеры атакуют предприятия розничной торговли, риелторские компании и другие учреждения, используя фишинг, основанный на стратегиях социальной инженерии.
Атаки на "водопой" в сравнении с атаками на цепочки поставок
Хотя атаки на "водопой" и атаки на цепочки поставок могут быть похожи, это не всегда одно и то же. При атаке на цепочку поставок вредоносное ПО передается через самый слабый элемент в сети организации, например поставщика, вендора или партнера. Например, пять сторонних компаний могли невольно стать нулевым пациентом в атаке Stuxnet на иранские компьютеры, защищенные с воздуха. Атака на цепочку поставок может также использовать взломанный веб-сайт в качестве "водопоя", но это не обязательно.
Как защититься от атак "водяных дыр
Потребители могут воспользоваться такими методами обеспечения кибербезопасности, как осторожность при просмотре веб-страниц, использование хорошей антивирусной программы и защита браузера, например Malwarebytes Browser Guard . Browser Guard позволяет более безопасно работать в браузере, блокируя веб-страницы, содержащие вредоносное ПО.
Для предприятий лучшие методы защиты от атак "водяных дыр" включают в себя следующие:
- Используйте передовое программное обеспечение для анализа вредоносных программ, которое использует машинное обучение для распознавания вредоносного поведения на веб-сайтах и в электронной почте.
- Регулярно тестируйте свое решение безопасности и отслеживайте интернет-трафик на предмет подозрительной активности.
- Обучение конечных пользователей стратегиям защиты от атак "водяных дыр".
- Используйте последние исправления безопасности операционной системы и браузера, чтобы снизить риск использования эксплойтов.
- Попробуйте использовать облачные браузеры вместо локальных, чтобы повысить безопасность.
- Аудит разрешений, предоставляемых веб-сайтам.
- Используйте инструменты Endpoint Detection and Response для Windows и Mac , чтобы защитить конечные точки вашей организации от возникающих угроз вредоносного ПО.
- Используйте соответствующие ресурсы по кибербезопасности, чтобы узнать больше о векторах угроз, которые хакеры используют для атак на "водяные дыры".
Новости о нападениях на водопой
- Новая вредоносная программа Mac поднимает новые вопросы об исправлениях безопасности Apple.
- Срочно обновить! Apple исправляет еще одну ошибку повышения привилегий в iOS и iPadOS
- Обновитесь сейчас! Chrome исправляет "нулевой день", который использовался в дикой природе.
- 6 способов, с помощью которых хакеры атакуют предприятия розничной торговли