Les RSSI et les organisations s'efforcent de se tenir au courant des outils, techniques et pratiques de cybersécurité. Cependant, les acteurs de la menace ne cessent d'innover pour être plus malins qu'eux. L'une des techniques qu'ils utilisent est l'attaque par trou d'eau. Lorsque votre écosystème technique est sécurisé et que vos employés sont formés pour éviter les manipulations, les cybercriminels peuvent cibler des services tiers. Ils exploitent ainsi les vulnérabilités et causent des dommages à votre organisation.
Historique des attaques contre les points d'eau
L'expression "attaque par trou d'eau" trouve son origine dans une ancienne stratégie de chasse. Les chasseurs de l'Antiquité trouvaient peu pratique de poursuivre leurs proies. En effet, les proies étaient idéalement plus rapides et beaucoup plus agiles que les humains. Une bien meilleure solution consistait à poser des pièges là où les proies étaient susceptibles de se rassembler. Les endroits tels que les bords de rivière ou les points d'eau attiraient ces proies pour qu'elles s'y abreuvent.
Les chasseurs attendaient à l'abreuvoir que leur proie baisse sa garde pour pouvoir la coincer facilement. Il en va de même pour cette nouvelle technique de cyberattaque.
Définition d'une attaque de type "Watering Hole" (point d'eau)
Une attaque de type "watering hole" est une cyberattaque dans laquelle les acteurs de la menace compromettent les utilisateurs finaux en devinant ou en observant les sites web qu'ils visitent fréquemment. Les attaquants cherchent à infecter les sites web avec des logiciels malveillants afin d'infiltrer l'appareil de la cible. Ils peuvent ensuite utiliser l'appareil infecté pour accéder au réseau organisationnel de la cible.
Par exemple, un pirate informatique cherche à exploiter l'ordinateur d'une entreprise. Mais les systèmes de cybersécurité et les pratiques d'hygiène informatique des employés l'empêchent de s'infiltrer. Cependant, le pirate sait que les RH commandent un gâteau à une boulangerie en ligne particulière pour l'anniversaire de chaque employé. Il attendra que les RH visitent le site web de la boulangerie. Il lancera un logiciels malveillants ou des codes exécutables sur l'appareil du RH. Cela leur permettra de pénétrer dans l'écosystème de l'entreprise.
Les attaques par trou d'eau sont dangereuses parce qu'elles sont difficiles à repérer et à éliminer. Le temps que vous vous rendiez compte de leur présence, les pirates auront déjà fait suffisamment de mal à votre entreprise.
Cycle de vie complet d'une attaque contre un point d'eau
L'attaque typique d'un point d'eau se déroule selon les étapes suivantes :
1. Identification du site web
Les acteurs de la menace sélectionnent souvent leurs sites web en fonction de leurs vulnérabilités en matière de sécurité, c'est-à-dire de leurs mauvaises pratiques de sécurité. Leurs cibles peuvent être des employés d'une entreprise particulière, des membres d'un secteur spécifique ou des utilisateurs d'un logiciel ou d'un service donné. Ils tiennent compte de plusieurs facteurs lorsqu'ils choisissent une cible idéale.
Il s'agit notamment des possibilités d'ingénierie sociale, de la situation géographique, de la proximité de leur installation, des gains financiers escomptés, de la réputation, des vulnérabilités et de la facilité d'exploitation.
2. Recherche sur les cibles
Ensuite, ils étudient le comportement et les habitudes en ligne de la cible. Cela les aide à trouver un point d'eau (tout site web tiers qu'ils visitent régulièrement). Il peut s'agir de sites d'information, de forums industriels, de convertisseurs de formats de fichiers, de plateformes d'achat en ligne, de sites de réservation de billets, etc.
3. L'infection
Les attaquants compromettent un ou plusieurs de ces sites web en y injectant un code malveillant. Ce code peut inciter les visiteurs à télécharger des logiciels malveillants sur leurs ordinateurs ou appareils.
4. Le leurre
Une fois que le code malveillant est installé sur le site web "watering hole", les acteurs malveillants attendent que leurs cibles visitent le site web compromis. D'où l'analogie avec les prédateurs qui attendent leurs proies dans un point d'eau. Le site web infecté est le leurre ou l'appât pour que les victimes tombent dans le piège.
5. Exploitation
Lorsque la victime visite le site web "watering hole", son ordinateur est infecté par des logiciels malveillants ou compromis. Cela peut se produire par le biais de téléchargements "drive-by". Le logiciel malveillant est téléchargé automatiquement et exécuté à l'insu de l'utilisateur ou sans son consentement.
6. Livraison de la charge utile
Les logiciels malveillants installés par l'intermédiaire du site web "watering hole" peuvent inclure diverses charges utiles. Cela dépend de l'objectif de l'attaquant. Obtenir un accès non autorisé à leurs appareils et à leurs réseaux peut être un objectif possible.
7. Recouvrement des voies
Une fois que les attaquants ont atteint leurs objectifs en exploitant le système ciblé, ils tentent souvent de brouiller les pistes. Pour ce faire, ils suppriment les traces de leur présence en manipulant ou en supprimant les fichiers journaux. Ils peuvent modifier les horodatages, supprimer des entrées spécifiques ou même altérer les configurations des journaux pour empêcher leur enregistrement.
Les pirates peuvent même utiliser des techniques furtives, telles que les rootkits, pour dissimuler leur présence sur les systèmes compromis. Les rootkits modifient le système d'exploitation pour dissimuler les processus et activités malveillants.
Exemple réel d'attaque d'un point d'eau
En 2021, Threat Advisory Group (TAG) de Google a découvert une série d'attaques de type "watering hole". Ces attaques ciblaient les appareils iOS et macOS. Les attaques étaient principalement menées à Hong Kong. Elles ont compromis des sites web et une combinaison de vulnérabilités, y compris un exploit zero-day dans macOS Catalina (CVE-2021-30869).
Les points d'eau étaient des sites web liés à un média et à un groupe pro-démocratique. Les attaquants ont installé une porte dérobée sur les appareils vulnérables par le biais de la chaîne d'exploitation. Cela leur a permis de disposer d'une série de capacités. Ils ont notamment pu identifier les appareils, enregistrer des données audio, capturer des écrans, enregistrer des frappes, manipuler des fichiers et exécuter des commandes de terminal avec les privilèges de l'utilisateur final.
Protection contre les attaques par trou d'eau
La prévention des attaques de type "watering hole" passe par une combinaison de mesures de cybersécurité et de sensibilisation des utilisateurs. Voici ce que vous pouvez faire en tant que propriétaire d'une organisation.
-
Maintenez vos logiciels et plugins à jour
La mise à jour des logiciels et des plugins est essentielle au maintien de la sécurité, car les mises à jour comprennent souvent des correctifs pour les vulnérabilités connues, ce qui permet de se protéger contre les exploits qui pourraient conduire à un accès non autorisé, à des violations de données ou à des infections par des logiciels malveillants.
-
Mise en œuvre du principe de moindre privilège
Suivez le principe du moindre privilège en n'accordant aux utilisateurs que les autorisations et l'accès dont ils ont besoin pour effectuer leur travail. La limitation des privilèges des utilisateurs peut atténuer l'impact des attaques de type "watering hole". En effet, cela réduit la capacité de l'attaquant à élever ses privilèges et à se déplacer latéralement au sein du réseau.
-
Segmentation du réseau
Divisez votre réseau en segments plus petits et isolés afin de limiter l'impact d'une attaque de type "watering hole". Cela vous permettra de contrôler et de contenir la propagation des logiciels malveillants. Elle empêche également les attaquants d'accéder aux systèmes et aux données sensibles. La réduction de la surface d'attaque permet de hiérarchiser le trafic réseau en fonction des besoins et de la criticité de l'entreprise. Cela améliore les performances, réduit la congestion et optimise l'utilisation de la bande passante.
-
Mettre en œuvre le filtrage du Web
Le filtrage Web empêche les attaques de type "watering hole" en bloquant l'accès aux sites Web malveillants. Les solutions de filtrage Web peuvent empêcher l'exfiltration non autorisée de données. Les solutions de filtrage du web peuvent également empêcher l'exfiltration non autorisée de données.
Pour ce faire, il bloque les connexions sortantes vers les serveurs de commande et de contrôle connus utilisés par les logiciels malveillants. Cela permet de limiter l'impact des attaques de type "watering hole" et d'empêcher le vol ou la fuite d'informations sensibles.
-
Abandonner les systèmes existants
L'abandon des systèmes existants protège les organisations contre les attaques de type "watering hole". Il s'agit d'éliminer les logiciels obsolètes et les infrastructures vulnérables à l'exploitation.
Les systèmes et logiciels modernes sont dotés de fonctions de sécurité intégrées. Il s'agit notamment de protocoles de cryptage avancés, de pratiques de codage sécurisées et de capacités de détection des menaces. Ces fonctions rendent plus difficile la compromission des systèmes et des réseaux par les attaquants.
Conclusion
La possibilité d'obtenir des récompenses lucratives incite les cybercriminels à continuer d'employer des attaques de type "watering hole". Il s'agit notamment d'accéder sans autorisation à des ressources précieuses ou d'obtenir des données sensibles.
La surveillance continue des attaques de type "watering hole" vous permet de déployer des mesures de cybersécurité robustes. Cela vous aide à garder une longueur d'avance sur les menaces émergentes dans le paysage cybernétique en constante évolution. Au final, cela permet de préserver la réputation de votre marque et de maintenir la confiance de vos clients.
Si vous souhaitez protéger votre domaine contre la fraude par e-mail, vous avez besoin de notre analyseur DMARC. Inscrivez-vous pour un essai gratuit pour découvrir la puissance de l'authentification des e-mails dès aujourd'hui !
