Атака на водопой

Атака через "водопой" — это когда киберпреступники заражают сайт, который будут посещать их жертвы.

.st0{fill:#0D3ECC;} СКАЧАТЬ MALWAREBYTES БЕСПЛАТНО

Также для Windows, iOS, Android, Chromebook и For Business

Что такое атака через "водопой"?

Как в кибербезопасности, так и в джунглях, атака через "водопой" подразумевает нападение на цели в местах их скопления. В природе водопой — это место, где животные приходят напиться. Здесь их легче поймать хищникам, таким как львы. В кибербезопасности это работает схожим образом: хакеры «охотятся» за пользователями сети, вместо зверей и их жертв.  

Как работают атаки через "водопой"?

Атака через "водопой" — это когда кибер-преступники атакуют людей, сообщества или организации на сайте, который они часто посещают, используя навыки как хакерство и социальная инженерия. Или же, нападающий может заманить жертву на созданный им сайт. Атаки требуют тщательного выполнения в четырёх фазах:

1. Сбор данных

Злоумышленник собирает данные путём отслеживания привычек просмотра сайтов их целью. Общие инструменты сбора данных включают поисковые системы, страницы в соцсетях, демографические данные сайтов, социальную инженерию, шпионское ПО и кейлоггеры. Иногда помогает даже общедоступная информация. В конце этого этапа у киберпреступников есть список сайтов-мишеней для атаки через водопой.

2. Анализ

Киберпреступники анализируют список веб-сайтов на наличие уязвимостей доменов и поддоменов, которые можно использовать. Они также могут создать зловредную копию сайта. Иногда они делают и то, и другое — компрометируют легитимный сайт, чтобы он перенаправил цели на поддельный.

3. Подготовка

Хакеры внедряют в сайт веб-эксплойты для заражения целей. Этот код может использовать технологии, такие как ActiveX, HTML, JavaScript, изображения и другие, чтобы скомпрометировать браузеры. Для более целенаправленных атак злоумышленники могут использовать наборы эксплойтов, позволяющие инфицировать посетителей, имеющих определённые IP-адреса. Эти наборы эксплойтов особенно полезны для атак на организации.

4. Исполнение

Когда «водопой» готов, атакующие ждут, пока вредоносное ПО выполнит свою работу. Если всё идет по плану, браузеры жертв загружают и запускают вредоносное ПО с сайта. Веб-браузеры могут быть уязвимы для веб-эксплойтов, так как они часто без разбору загружают код с сайтов на локальные компьютеры и устройства.

Какие техники используют хакеры в атаках через "водопой"?

  • Межсайтовый скриптинг (XSS): С помощью этой инъекционной атаки хакер может вставить вредоносные скрипты в содержимое сайта, чтобы перенаправить пользователей на зловредные веб-сайты.
  • SQL-инъекция: Хакеры могут использовать SQL-инъекции для кражи данных.
  • Отравление кэша DNS: Также известное как подмена DNS, это техника манипулирования, с помощью которой хакеры отправляют цели на вредоносные страницы.
  • Drive-by загрузки: Цели на «водопое» могут загрузить вредоносный контент без их ведома или согласия в drive-by атаке.
  • Зловредная реклама: Известная как malvertising, это метод, когда хакеры внедряют зловредный код в рекламные объявления на «водопое», чтобы распространить вредоносное ПО среди своей добычи.
  • Эксплуатация нулевого дня: Злоумышленники могут эксплуатировать уязвимости нулевого дня на сайте или в браузере, которые могут использовать атаки через "водопой".

Примеры атак через "водопой"

2012: Хакеры заразили веб-сайт Американского совета по международным отношениям (CFR) с помощью эксплойта для Internet Explorer. Интересно, что «водопой» поражал только браузеры Internet Explorer, использовавшие определённые языки.

2013: Государственно спонсируемая атака вредоносного ПО поразила системы управления промышленными предприятиями (ICS) в США и Европе, нацелившись на оборонный, энергетический, авиационный, фармацевтический и нефтехимический сектора.

2013: Хакеры собрали пользовательскую информацию, используя сайт Департамента труда США как «водопой».

2016: Исследователи обнаружили настраиваемый набор эксплойтов, нацеленный на организации в более чем 31 стране, включая Польшу, США и Мексику. Источником атаки мог быть веб-сервер Польской Финансовой Надзорной Службы.

2016: Международная организация гражданской авиации (ICAO), базирующаяся в Монреале, является шлюзом к почти всем авиалиниям, аэропортам и национальным авиационным агентствам. Путем компрометации двух серверов ICAO, хакер распространил вредоносное ПО на другие сайты, оставив чувствительные данные 2000 пользователей и сотрудников уязвимыми.

2017: Вредоносное ПО NotPetya проникло в сети по всей Украине, заражая посетителей сайтов и удаляя их данные с жестких дисков.

2018: Исследователи обнаружили кампанию через «водопой» под названием OceanLotus. Эта атака поразила правительственные веб-сайты Камбоджи и вьетнамские СМИ.

2019: Киберпреступники использовали вредоносное всплывающее окно Adobe Flash для запуска атаки drive-by на почти дюжине веб-сайтов. Эта атака, получившая название Holy Water, поразила религиозные, благотворительные и волонтёрские веб-сайты.

2020: Американская IT-компания SolarWinds стала целью атаки через водопой, на выявление которой ушли месяцы. Государственно спонсируемые агенты использовали эту атаку, чтобы шпионить за компаниями занимающимися кибербезопасностью, а также на Министерство финансов, Homeland Security и т.д.

2021: Группа анализа угроз Google (TAG) обнаружила широко распространённые атаки через «водопой», нацеленные на пользователей медиаресурсов и продемократических веб-сайтов в Гонконге. Вредоносное ПО устанавливало бэкдор на устройства пользователей Apple.

Сейчас: Атаки через "водопой" представляют собой угрозу высокого уровня для всех типов бизнеса по всему миру. К сожалению, хакеры нацеливаются на ритейл на предприятия розничной торговли, компании недвижимости и другие заведения через атаки с фишингом, управляемым стратегиями социальной инженерии.

Атаки через "водопой" против атак на цепочку поставок

Хотя атаки через водопой и атаки на цепочки поставок могут быть похожи, они не всегда одинаковы. Атака на цепочку поставок доставляет вредоносное ПО через слабейший элемент в сети организации, такой как подрядчик, поставщик или партнёр. Например, пять внешних компаний могли быть пациентом ноль в атака Stuxnet на изолированные от сети компьютеры Ирана. Атака на цепочку поставок также может использовать компрометированный сайт как "водопой", но это не обязательно.

Как защититься от атак через "водопой"

Для потребителей хорошие практики кибербезопасности, такие как осторожный просмотр и клики в Интернете, использование хорошей антивирусной программы и использование защиты браузера, такой как Malwarebytes Browser Guard, в совокупности являются хорошим способом избегать атак через водопой. Browser Guard позволяет более безопасно просматривать веб-страницы, блокируя страницы, содержащие вредоносное ПО.

Для бизнеса лучшие практики по защите от атак через "водопои" включают:

  • Используйте передовое программное обеспечение для анализа вредоносных программ, которое использует машинное обучение для распознавания зловредного поведения на веб-сайтах и в электронных письмах.
  • Регулярно проверяйте свое решение для обеспечения безопасности и следите за своим интернет-трафиком на наличие подозрительной активности.
  • Обучайте конечных пользователей стратегиям смягчения последствий атак через "водопои".
  • Используйте последние патчи безопасности операционных систем и браузеров, чтобы снизить риск эксплойтов.
  • Используйте облачные браузеры вместо локальных для большей безопасности.
  • Проверяйте разрешения, предоставленные веб-сайтам.
  • Используйте инструменты Endpoint Detection and Response для Windows и Mac, чтобы защищать конечные точки в вашей организации от новых угроз вредоносного ПО.
  • Изучайте релевантные кибербезопасности ресурсы, чтобы больше узнать о векторах угроз, которые используют хакеры для атак через "водопои".

Новости об атаках через "водопой"