Attacchi di acquaplaning: Definizione, pericoli e prevenzione
di
Tempo di lettura: 5 min
I CISO e le organizzazioni si sforzano di stare al passo con gli strumenti, le tecniche e le pratiche di cybersecurity. Tuttavia, gli attori delle minacce innovano continuamente per superarli in astuzia. Una di queste tecniche è l'attacco watering hole. Quando il vostro ecosistema tecnico è protetto e i vostri dipendenti sono addestrati a evitare manipolazioni, i criminali informatici possono prendere di mira servizi di terze parti. Ciò avviene per sfruttare le vulnerabilità e causare danni all'organizzazione.
Storia degli attacchi ai Watering Hole
L'espressione "attacco da abbeveratoio" trae origine da un'antica strategia di caccia. Nell'antichità i cacciatori trovavano scomodo inseguire le prede. Questo perché le prede erano idealmente più veloci e molto più agili degli esseri umani. Una soluzione migliore era quella di piazzare le trappole nei luoghi in cui le prede si radunavano. Luoghi come le rive dei fiumi o le pozze d'acqua attiravano le prede per l'acqua potabile.
I cacciatori aspettavano all'abbeveratoio che la guardia della loro preda si abbassasse per poterla facilmente incastrare. Lo stesso vale per questa tecnica emergente di attacco informatico.
Definizione di attacco al Watering Hole
Un attacco watering hole è un cyberattacco in cui gli attori delle minacce compromettono gli utenti finali indovinando o osservando i siti web che visitano di frequente. Gli aggressori mirano a infettare i siti web con malware per infiltrarsi nel dispositivo dell'obiettivo. Quindi, possono utilizzare il dispositivo infetto per ottenere l'accesso alla rete organizzativa dell'obiettivo.
Ad esempio, un hacker mira a sfruttare il computer di un'azienda. Ma i sistemi di sicurezza informatica e le pratiche di igiene informatica dei dipendenti impediscono l'infiltrazione. Tuttavia, l'hacker sa che le Risorse Umane ordinano una torta da una particolare pasticceria online per il compleanno di ogni dipendente. Ora aspetta che le Risorse Umane visitino il sito web del pasticcere. Lanceranno malware o codici eseguibili sul dispositivo dell'HR. Questo permetterà loro di entrare nell'ecosistema dell'azienda.
Gli attacchi watering hole sono pericolosi perché sono difficili da individuare ed eliminare. Quando vi accorgerete della loro presenza, gli hacker avranno già fatto abbastanza danni alla vostra azienda.
Ciclo di vita completo dell'attacco di un'idrovora
Un tipico attacco di tipo watering hole si svolge nelle seguenti fasi:
1. Identificazione del sito web
Gli attori delle minacce spesso scelgono i loro siti web con vulnerabilità di sicurezza, ovvero con pratiche di sicurezza inadeguate. I loro obiettivi possono essere i dipendenti di una particolare azienda, i membri di un settore specifico o gli utenti di un determinato software o servizio. Per individuare il bersaglio ideale considerano diversi fattori.
Tra questi, le opportunità di social engineering, la posizione geografica, la vicinanza alla propria struttura, i guadagni finanziari attesi, la reputazione, le vulnerabilità e la facilità di sfruttamento.
2. Ricerca di un obiettivo
Successivamente, ricercano il comportamento e gli schemi online dell'obiettivo. Questo li aiuta a trovare un "watering hole" (qualsiasi sito web di terzi che visitano regolarmente). Possono essere siti di notizie, forum di settore, convertitori di formati di file, piattaforme di shopping online, siti di prenotazione di biglietti, ecc.
3. Infezione
Gli aggressori compromettono uno o più di questi siti web iniettandovi del codice maligno. Questo codice può indurre i visitatori a scaricare malware sui loro computer o dispositivi.
4. Attirare
Dopo che il codice dannoso è stato inserito nel sito web "watering hole", i malintenzionati aspettano che i loro obiettivi visitino il sito web compromesso. Da qui l'analogia con i predatori che aspettano la preda in una pozza d'acqua. Il sito web infetto è l'esca che spinge le vittime a cadere nella trappola.
5. Sfruttamento
Quando la vittima visita il sito web "watering hole", il suo computer viene infettato da malware o compromesso. Questo può accadere attraverso i download drive-by. In questo caso il malware viene scaricato automaticamente ed eseguito senza che l'utente ne sia a conoscenza o abbia dato il suo consenso.
6. Consegna del carico utile
Il malware installato attraverso il sito web "watering hole" può includere diversi payload. Ciò dipende dall'obiettivo dell'aggressore. Un possibile obiettivo può essere quello di ottenere un accesso non autorizzato ai dispositivi e alle reti dei clienti.
7. Copertura dei binari
Una volta che gli aggressori hanno raggiunto i loro obiettivi sfruttando il sistema preso di mira, spesso cercano di coprire le loro tracce. Ciò comporta la rimozione delle tracce della loro presenza manipolando o eliminando i file di registro. Possono alterare i timestamp, eliminare voci specifiche o persino manomettere le configurazioni dei registri per impedirne del tutto la registrazione.
Gli hacker possono anche utilizzare tecniche furtive, come i rootkit, per nascondere la loro presenza sui sistemi compromessi. I rootkit modificano il sistema operativo per nascondere processi e attività dannosi.
Esempio reale di attacco da parte di un watering hole
Nel 2021, il Gruppo di consulenza sulle minacce (TAG) di Google ha scoperto una serie di attacchi watering hole. Questi attacchi prendevano di mira dispositivi iOS e macOS. Gli attacchi sono stati condotti principalmente a Hong Kong. Hanno compromesso siti web e una combinazione di vulnerabilità, tra cui un exploit zero-day in macOS Catalina (CVE-2021-30869).
I punti di approdo erano siti web collegati a un media e a un gruppo pro-democrazia. Gli aggressori hanno installato una backdoor sui dispositivi vulnerabili attraverso la catena di exploit. Questo ha fornito loro una serie di funzionalità. Tra queste, l'identificazione del dispositivo, la registrazione audio, la cattura dello schermo, il keylogging, la manipolazione dei file e l'esecuzione di comandi di terminale con privilegi di root.
Protezione contro gli attacchi Watering Hole
Per prevenire gli attacchi watering hole è necessaria una combinazione di misure di sicurezza informatica e di consapevolezza degli utenti. Ecco cosa potete fare voi, in quanto proprietari di un'organizzazione.
-
Mantenete aggiornati il software e i plugin
Mantenere aggiornati software e plugin è fondamentale per mantenere la sicurezza, poiché gli aggiornamenti spesso includono patch per le vulnerabilità note, proteggendo da exploit che potrebbero portare ad accessi non autorizzati, violazioni di dati o infezioni da malware.
-
Attuare il Least Privilege
Seguire il principio del minimo privilegio, concedendo agli utenti solo i permessi e gli accessi necessari per svolgere il proprio lavoro. La limitazione dei privilegi degli utenti può attenuare l'impatto degli attacchi watering hole. Questo perché riduce la capacità dell'attaccante di aumentare i privilegi e di muoversi lateralmente all'interno della rete.
-
Segmentazione della rete
Dividete la rete in segmenti più piccoli e isolati per limitare l'impatto di un attacco watering hole. Questo vi permetterà di controllare e contenere la diffusione del malware. Inoltre, impedisce agli aggressori di accedere a sistemi e dati sensibili. La riduzione della superficie di attacco consente di dare priorità al traffico di rete in base alle esigenze aziendali e alla criticità. Questo migliora le prestazioni, riduce la congestione e ottimizza l'uso della larghezza di banda.
-
Implementare il filtro web
Il filtraggio del Web impedisce gli attacchi watering hole bloccando l'accesso ai siti Web dannosi. Le soluzioni di filtraggio del Web possono impedire l'esfiltrazione non autorizzata dei dati. Le soluzioni di filtraggio Web possono prevenire anche l'esfiltrazione non autorizzata dei dati.
Ciò si ottiene bloccando le connessioni in uscita verso i server di comando e controllo conosciuti e utilizzati dalle minacce informatiche. Questo aiuta a contenere l'impatto degli attacchi watering hole e a prevenire il furto o la fuga di informazioni sensibili.
-
Abbandonare i sistemi tradizionali
L'abbandono dei sistemi legacy protegge le organizzazioni dagli attacchi watering hole. Ciò avviene eliminando il software e l'infrastruttura obsoleti e vulnerabili allo sfruttamento.
I sistemi e i software moderni sono dotati di funzioni di sicurezza integrate. Queste includono protocolli di crittografia avanzati, pratiche di codifica sicure e funzionalità di rilevamento delle minacce. Queste caratteristiche rendono più difficile per gli aggressori compromettere sistemi e reti.
Avvicinarsi alla fine
Il potenziale di ricompense lucrative incentiva i criminali informatici a continuare a utilizzare gli attacchi watering hole. Ciò include l'accesso non autorizzato a risorse preziose o l'ottenimento di dati sensibili.
Il monitoraggio continuo degli attacchi "watering hole" consente di implementare misure di cybersecurity solide. Questo vi aiuta a stare al passo con le minacce emergenti nel panorama informatico in continua evoluzione. In ultima analisi, ciò salvaguarda la reputazione del vostro marchio e mantiene la fiducia dei clienti.
Se desiderate proteggere il vostro dominio dalle frodi via email, avete bisogno del nostro analizzatore DMARC. Registratevi per una prova gratuita per sperimentare oggi stesso la potenza dell'autenticazione delle e-mail!
Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC
Ahona è la Marketing Manager di PowerDMARC, con oltre 5 anni di esperienza nella scrittura di argomenti di cybersecurity, specializzata in sicurezza dei domini e delle e-mail. Ahona ha conseguito una laurea in Giornalismo e Comunicazione, consolidando la sua carriera nel settore della sicurezza dal 2019.
Ultimi messaggi di Ahona Rudra (vedi tutti)
- Studio di caso DMARC MSP: CloudTech24 semplifica la gestione della sicurezza del dominio per i clienti con PowerDMARC - 24 ottobre 2024
- I rischi per la sicurezza dell'invio di informazioni sensibili via e-mail - 23 ottobre 2024
- 5 tipi di truffe via e-mail per la sicurezza sociale e come prevenirle - 3 ottobre 2024
