Атака на водопой

Атака через "водопой" — это когда киберпреступники заражают сайт, который будут посещать их жертвы.

Также для Windows, iOS, Android, Chromebook и For Business

Что такое атака через "водопой"?

Как в кибербезопасности, так и в джунглях, атака через "водопой" подразумевает нападение на цели в местах их скопления. В природе водопой — это место, где животные приходят напиться. Здесь их легче поймать хищникам, таким как львы. В кибербезопасности это работает схожим образом: хакеры «охотятся» за пользователями сети, вместо зверей и их жертв.

Как работают атаки через "водопой"?

Атака через "водопой" — это когда кибер-преступники атакуют людей, сообщества или организации на сайте, который они часто посещают, используя навыки как хакерство и социальная инженерия. Или же, нападающий может заманить жертву на созданный им сайт. Атаки требуют тщательного выполнения в четырёх фазах:

1. Сбор данных

Угрожающий агент собирает информацию, отслеживая привычки пользователя в Интернете. Обычно для сбора информации используются поисковые системы, страницы в социальных сетях, демографические данные веб-сайтов, социальная инженерия, шпионские программы и кейлоггеры. Иногда очень помогают обычные знания. В конце этого этапа у киберпреступников есть список сайтов-целей, которые можно использовать для кибератаки на "водопой".

2. Анализ

Киберпреступники анализируют список веб-сайтов на наличие уязвимостей доменов и поддоменов, которые можно использовать. Они также могут создать зловредную копию сайта. Иногда они делают и то, и другое — компрометируют легитимный сайт, чтобы он перенаправил цели на поддельный.

3. Подготовка

hackers внедряют на сайт веб-эксплойты, чтобы заразить свои цели. Такой код может использовать такие веб-технологии, как ActiveX, HTML, JavaScript, изображения и другие, чтобы скомпрометировать браузеры. Для более целенаправленных атак субъекты угроз могут также использовать наборы эксплойтов, которые позволяют заражать посетителей с определенными IP-адресами. Такие наборы эксплойтов особенно полезны, когда речь идет об организации.

4. Исполнение

Подготовив "водопой", злоумышленники ждут, пока вредоносная программа выполнит свою работу. Если все идет хорошо, браузеры злоумышленников загружают и запускают вредоносное ПО с веб-сайта. Веб-браузеры могут быть уязвимы для веб-эксплойтов, поскольку они обычно без разбора загружают код с веб-сайтов на локальные компьютеры и устройства.

Какие техники используют хакеры в атаках через "водопой"?

Межсайтовый скриптинг (XSS): С помощью этой инъекционной атаки hacker может вставить вредоносные скрипты в содержимое сайта, чтобы перенаправить пользователей на вредоносные сайты.
Инъекция SQL: Hackers могут использовать атаки SQL-инъекций для кражи данных.
Отравление кэша DNS: Также известное как подмена DNS, это техника манипулирования, с помощью которой хакеры отправляют цели на вредоносные страницы.
Drive-by загрузки: Цели на «водопое» могут загрузить вредоносный контент без их ведома или согласия в drive-by атаке.
Malvertising: hackers , известные как malvertising, внедряют вредоносный код в рекламу на водопое, чтобы распространить вредоносное ПО среди своей жертвы.
Эксплуатация нулевого дня: Злоумышленники могут эксплуатировать уязвимости нулевого дня на сайте или в браузере, которые могут использовать атаки через "водопой".

Примеры атак через "водопой"

2012: Хакеры заразили веб-сайт Американского совета по международным отношениям (CFR) с помощью эксплойта для Internet Explorer. Интересно, что «водопой» поражал только браузеры Internet Explorer, использовавшие определённые языки.

2013: Государственно спонсируемая атака вредоносного ПО поразила системы управления промышленными предприятиями (ICS) в США и Европе, нацелившись на оборонный, энергетический, авиационный, фармацевтический и нефтехимический сектора.

2013: Хакеры собрали пользовательскую информацию, используя сайт Департамента труда США как «водопой».

2016: Исследователи обнаружили настраиваемый набор эксплойтов, нацеленный на организации в более чем 31 стране, включая Польшу, США и Мексику. Источником атаки мог быть веб-сервер Польской Финансовой Надзорной Службы.

2016: Международная организация гражданской авиации (ICAO), базирующаяся в Монреале, является шлюзом к почти всем авиалиниям, аэропортам и национальным авиационным агентствам. Путем компрометации двух серверов ICAO, хакер распространил вредоносное ПО на другие сайты, оставив чувствительные данные 2000 пользователей и сотрудников уязвимыми.

2017: Вредоносная программа NotPetya проникала в сети по всей Украине, заражая посетителей сайтов и удаляя данные с их жестких дисков.

2018: Исследователи обнаружили кампанию через «водопой» под названием OceanLotus. Эта атака поразила правительственные веб-сайты Камбоджи и вьетнамские СМИ.

2019: Киберпреступники использовали вредоносное всплывающее окно Adobe Flash для запуска атаки drive-by на почти дюжине веб-сайтов. Эта атака, получившая название Holy Water, поразила религиозные, благотворительные и волонтёрские веб-сайты.

2020: Американская IT-компания SolarWinds стала целью атаки через водопой, на выявление которой ушли месяцы. Государственно спонсируемые агенты использовали эту атаку, чтобы шпионить за компаниями занимающимися кибербезопасностью, а также на Министерство финансов, Homeland Security и т.д.

2021: Группа анализа угроз (Threat Analysis Group, TAG) компании Google обнаружила широкомасштабные атаки на посетителей СМИ и продемократических сайтов в Гонконге. Вредоносное ПО устанавливало бэкдор на устройствах Apple.

Сейчас: Атаки с использованием "водяных дыр" - это современная постоянная угроза (APT), направленная на все виды бизнеса по всему миру. К сожалению, hackers атакуют предприятия розничной торговли, риелторские компании и другие учреждения, используя фишинг, основанный на стратегиях социальной инженерии.

Атаки через "водопой" против атак на цепочку поставок

Хотя атаки через водопой и атаки на цепочки поставок могут быть похожи, они не всегда одинаковы. Атака на цепочку поставок доставляет вредоносное ПО через слабейший элемент в сети организации, такой как подрядчик, поставщик или партнёр. Например, пять внешних компаний могли быть пациентом ноль в атака Stuxnet на изолированные от сети компьютеры Ирана. Атака на цепочку поставок также может использовать компрометированный сайт как "водопой", но это не обязательно.

Как защититься от атак через "водопой"

Для потребителей хорошие методы обеспечения кибербезопасности, такие как осторожность при просмотре веб-страниц, использование хорошей антивирусной программы и защита браузера, например Malwarebytes Browser Guard , в совокупности являются хорошим способом избежать атак "водяных дыр". Browser Guard обеспечивает более безопасную работу в браузере, блокируя веб-страницы, содержащие вредоносное ПО.

Для бизнеса лучшие практики по защите от атак через "водопои" включают:

Используйте передовое программное обеспечение для анализа вредоносных программ, которое использует машинное обучение для распознавания вредоносного поведения на веб-сайтах и в электронной почте.
Регулярно проверяйте свое решение для обеспечения безопасности и следите за своим интернет-трафиком на наличие подозрительной активности.
Обучайте конечных пользователей стратегиям смягчения последствий атак через "водопои".
Используйте последние патчи безопасности операционных систем и браузеров, чтобы снизить риск эксплойтов.
Попробуйте использовать облачные браузеры вместо локальных, чтобы повысить безопасность.
Проверяйте разрешения, предоставленные веб-сайтам.
Используйте инструменты Endpoint Detection and Response для Windows и Mac, чтобы защищать конечные точки в вашей организации от новых угроз вредоносного ПО.
Изучайте релевантные кибербезопасности ресурсы, чтобы больше узнать о векторах угроз, которые используют хакеры для атак через "водопои".