Attacchi di acquaplaning: Definizione, pericoli e prevenzione

Blog

Gli attacchi watering hole compromettono siti web apparentemente innocui e mettono in pericolo i dati dell'organizzazione. Scoprite come funzionano e come rafforzare la vostra sicurezza informatica.

di Ahona Rudra

Tempo di lettura: 5 min
Attacchi di acquaplaning: Definizione, pericoli e prevenzione
Indice dei contenuti-

I CISO e le organizzazioni si sforzano di stare al passo con gli strumenti, le tecniche e le pratiche di cybersecurity. Tuttavia, gli attori delle minacce innovano continuamente per superarli in astuzia. Una di queste tecniche è l'attacco watering hole. Quando il vostro ecosistema tecnico è protetto e i vostri dipendenti sono addestrati a evitare manipolazioni, i criminali informatici possono prendere di mira servizi di terze parti. Ciò avviene per sfruttare le vulnerabilità e causare danni all'organizzazione.

Storia degli attacchi ai Watering Hole 

L'espressione "attacco da abbeveratoio" trae origine da un'antica strategia di caccia. Nell'antichità i cacciatori trovavano scomodo inseguire le prede. Questo perché le prede erano idealmente più veloci e molto più agili degli esseri umani. Una soluzione migliore era quella di piazzare le trappole nei luoghi in cui le prede si radunavano. Luoghi come le rive dei fiumi o le pozze d'acqua attiravano le prede per l'acqua potabile. 

I cacciatori aspettavano all'abbeveratoio che la guardia della loro preda si abbassasse per poterla facilmente incastrare. Lo stesso vale per questa tecnica emergente di attacco informatico. 

Definizione di attacco al Watering Hole

Un attacco watering hole è un cyberattacco in cui gli attori delle minacce compromettono gli utenti finali indovinando o osservando i siti web che visitano di frequente. Gli aggressori mirano a infettare i siti web con malware per infiltrarsi nel dispositivo dell'obiettivo. Quindi, possono utilizzare il dispositivo infetto per ottenere l'accesso alla rete organizzativa dell'obiettivo.  

Ad esempio, un hacker mira a sfruttare il computer di un'azienda. Ma i sistemi di sicurezza informatica e le pratiche di igiene informatica dei dipendenti impediscono l'infiltrazione. Tuttavia, l'hacker sa che le Risorse Umane ordinano una torta da una particolare pasticceria online per il compleanno di ogni dipendente. Ora aspetta che le Risorse Umane visitino il sito web del pasticcere. Lanceranno malware o codici eseguibili sul dispositivo dell'HR. Questo permetterà loro di entrare nell'ecosistema dell'azienda.

Gli attacchi watering hole sono pericolosi perché sono difficili da individuare ed eliminare. Quando vi accorgerete della loro presenza, gli hacker avranno già fatto abbastanza danni alla vostra azienda. 

Ciclo di vita completo dell'attacco di un'idrovora

Un tipico attacco di tipo watering hole si svolge nelle seguenti fasi:

1. Identificazione del sito web

Gli attori delle minacce spesso scelgono i loro siti web con vulnerabilità di sicurezza, ovvero con pratiche di sicurezza inadeguate. I loro obiettivi possono essere i dipendenti di una particolare azienda, i membri di un settore specifico o gli utenti di un determinato software o servizio. Per individuare il bersaglio ideale considerano diversi fattori. 

Tra questi, le opportunità di social engineering, la posizione geografica, la vicinanza alla propria struttura, i guadagni finanziari attesi, la reputazione, le vulnerabilità e la facilità di sfruttamento.

2. Ricerca di un obiettivo

Successivamente, ricercano il comportamento e gli schemi online dell'obiettivo. Questo li aiuta a trovare un "watering hole" (qualsiasi sito web di terzi che visitano regolarmente). Possono essere siti di notizie, forum di settore, convertitori di formati di file, piattaforme di shopping online, siti di prenotazione di biglietti, ecc. 

3. Infezione

Gli aggressori compromettono uno o più di questi siti web iniettandovi del codice maligno. Questo codice può indurre i visitatori a scaricare malware sui loro computer o dispositivi.

4. Attirare

Dopo che il codice dannoso è stato inserito nel sito web "watering hole", i malintenzionati aspettano che i loro obiettivi visitino il sito web compromesso. Da qui l'analogia con i predatori che aspettano la preda in una pozza d'acqua. Il sito web infetto è l'esca che spinge le vittime a cadere nella trappola.

5. Sfruttamento

Quando la vittima visita il sito web "watering hole", il suo computer viene infettato da malware o compromesso. Questo può accadere attraverso i download drive-by. In questo caso il malware viene scaricato automaticamente ed eseguito senza che l'utente ne sia a conoscenza o abbia dato il suo consenso.

6. Consegna del carico utile

Il malware installato attraverso il sito web "watering hole" può includere diversi payload. Ciò dipende dall'obiettivo dell'aggressore. Un possibile obiettivo può essere quello di ottenere un accesso non autorizzato ai dispositivi e alle reti dei clienti.

7. Copertura dei binari

Una volta che gli aggressori hanno raggiunto i loro obiettivi sfruttando il sistema preso di mira, spesso cercano di coprire le loro tracce. Ciò comporta la rimozione delle tracce della loro presenza manipolando o eliminando i file di registro. Possono alterare i timestamp, eliminare voci specifiche o persino manomettere le configurazioni dei registri per impedirne del tutto la registrazione.

Gli hacker possono anche utilizzare tecniche furtive, come i rootkit, per nascondere la loro presenza sui sistemi compromessi. I rootkit modificano il sistema operativo per nascondere processi e attività dannosi.

Esempio reale di attacco da parte di un watering hole

fonte

Nel 2021, il Gruppo di consulenza sulle minacce (TAG) di Google ha scoperto una serie di attacchi watering hole. Questi attacchi prendevano di mira dispositivi iOS e macOS. Gli attacchi sono stati condotti principalmente a Hong Kong. Hanno compromesso siti web e una combinazione di vulnerabilità, tra cui un exploit zero-day in macOS Catalina (CVE-2021-30869).

I punti di approdo erano siti web collegati a un media e a un gruppo pro-democrazia. Gli aggressori hanno installato una backdoor sui dispositivi vulnerabili attraverso la catena di exploit. Questo ha fornito loro una serie di funzionalità. Tra queste, l'identificazione del dispositivo, la registrazione audio, la cattura dello schermo, il keylogging, la manipolazione dei file e l'esecuzione di comandi di terminale con privilegi di root.

Protezione contro gli attacchi Watering Hole

Per prevenire gli attacchi watering hole è necessaria una combinazione di misure di sicurezza informatica e di consapevolezza degli utenti. Ecco cosa potete fare voi, in quanto proprietari di un'organizzazione.

  • Mantenete aggiornati il software e i plugin

Mantenere aggiornati software e plugin è fondamentale per mantenere la sicurezza, poiché gli aggiornamenti spesso includono patch per le vulnerabilità note, proteggendo da exploit che potrebbero portare ad accessi non autorizzati, violazioni di dati o infezioni da malware.

  • Attuare il Least Privilege

Seguire il principio del minimo privilegio, concedendo agli utenti solo i permessi e gli accessi necessari per svolgere il proprio lavoro. La limitazione dei privilegi degli utenti può attenuare l'impatto degli attacchi watering hole. Questo perché riduce la capacità dell'attaccante di aumentare i privilegi e di muoversi lateralmente all'interno della rete.

  • Segmentazione della rete

Dividete la rete in segmenti più piccoli e isolati per limitare l'impatto di un attacco watering hole. Questo vi permetterà di controllare e contenere la diffusione del malware. Inoltre, impedisce agli aggressori di accedere a sistemi e dati sensibili. La riduzione della superficie di attacco consente di dare priorità al traffico di rete in base alle esigenze aziendali e alla criticità. Questo migliora le prestazioni, riduce la congestione e ottimizza l'uso della larghezza di banda.

  • Implementare il filtro web

Il filtraggio del Web impedisce gli attacchi watering hole bloccando l'accesso ai siti Web dannosi. Le soluzioni di filtraggio del Web possono impedire l'esfiltrazione non autorizzata dei dati. Le soluzioni di filtraggio Web possono prevenire anche l'esfiltrazione non autorizzata dei dati. 

Ciò si ottiene bloccando le connessioni in uscita verso i server di comando e controllo conosciuti e utilizzati dalle minacce informatiche. Questo aiuta a contenere l'impatto degli attacchi watering hole e a prevenire il furto o la fuga di informazioni sensibili.

  • Abbandonare i sistemi tradizionali 

L'abbandono dei sistemi legacy protegge le organizzazioni dagli attacchi watering hole. Ciò avviene eliminando il software e l'infrastruttura obsoleti e vulnerabili allo sfruttamento.

I sistemi e i software moderni sono dotati di funzioni di sicurezza integrate. Queste includono protocolli di crittografia avanzati, pratiche di codifica sicure e funzionalità di rilevamento delle minacce. Queste caratteristiche rendono più difficile per gli aggressori compromettere sistemi e reti.

Avvicinarsi alla fine

Il potenziale di ricompense lucrative incentiva i criminali informatici a continuare a utilizzare gli attacchi watering hole. Ciò include l'accesso non autorizzato a risorse preziose o l'ottenimento di dati sensibili.

Il monitoraggio continuo degli attacchi "watering hole" consente di implementare misure di cybersecurity solide. Questo vi aiuta a stare al passo con le minacce emergenti nel panorama informatico in continua evoluzione. In ultima analisi, ciò salvaguarda la reputazione del vostro marchio e mantiene la fiducia dei clienti.

Se desiderate proteggere il vostro dominio dalle frodi via email, avete bisogno del nostro analizzatore DMARC. Registratevi per una prova gratuita per sperimentare oggi stesso la potenza dell'autenticazione delle e-mail!

Ultimi messaggi di Ahona Rudra (vedi tutti)
Come pubblicare un record DMARC in 3 passipubblicare il blog di dmarc recordLa privacy dei dati nella comunicazione via e-mail: Conformità, rischi e buone pratiche