CISO i organizacje starają się nadążać za narzędziami, technikami i praktykami w zakresie cyberbezpieczeństwa. Jednak aktorzy zagrożeń nieustannie wprowadzają innowacje, aby ich przechytrzyć. Jedną z takich technik jest atak typu "watering hole". Gdy ekosystem techniczny jest zabezpieczony, a pracownicy są przeszkoleni w zakresie unikania manipulacji, cyberprzestępcy mogą atakować usługi innych firm. Ma to na celu wykorzystanie luk w zabezpieczeniach i wyrządzenie szkód w organizacji.
Historia ataków na wodopoje
Termin "atak z wodopoju" wywodzi się ze starożytnej strategii łowieckiej. Myśliwi w starożytności uważali, że ściganie zdobyczy jest niewygodne. Wynikało to z faktu, że ofiary były znacznie szybsze i zwinniejsze niż ludzie. Znacznie lepszym rozwiązaniem było zastawianie pułapek w miejscach, w których ofiary mogły się gromadzić. Miejsca takie jak brzeg rzeki lub wodopój przyciągały te ofiary do picia wody.
Myśliwi czekali przy wodopoju, aż ich ofiara straci czujność, aby mogli ją łatwo osaczyć. To samo dotyczy tej nowej techniki cyberataków.
Definicja ataku na wodopój
Atak typu "watering hole" to cyberatak, w którym podmioty stanowiące zagrożenie narażają na szwank użytkowników końcowych, odgadując lub obserwując często odwiedzane przez nich strony internetowe. Atakujący dążą do zainfekowania stron internetowych złośliwym oprogramowaniem w celu infiltracji urządzenia docelowego. Następnie mogą użyć zainfekowanego urządzenia, aby uzyskać dostęp do sieci organizacyjnej celu.
Na przykład haker chce wykorzystać komputer firmy. Jednak systemy cyberbezpieczeństwa i praktyki pracowników w zakresie higieny cybernetycznej uniemożliwiają mu infiltrację. Haker wie jednak, że dział kadr zamawia tort z konkretnej piekarni internetowej na urodziny każdego pracownika. Teraz będą czekać, aż dział kadr odwiedzi stronę internetową piekarni. Następnie uruchomi złośliwe oprogramowanie lub kody wykonywalne na urządzeniu HR. To ostatecznie pozwoli im wejść do ekosystemu firmy.
Ataki typu "watering hole" są niebezpieczne, ponieważ trudno je wykryć i wyeliminować. Zanim zorientujesz się o ich obecności, hakerzy zdążą już wyrządzić wystarczająco dużo szkód Twojej firmie.
Pełny cykl życia ataku na wodopój
Typowy atak na wodopój przebiega w następujących etapach:
1. Identyfikacja strony internetowej
Podmioty stanowiące zagrożenie często wybierają swoje strony internetowe z lukami w zabezpieczeniach, tj. złymi praktykami bezpieczeństwa. Ich celami mogą być pracownicy określonej firmy, członkowie określonej branży lub użytkownicy określonego oprogramowania lub usługi. Podczas wybierania idealnego celu biorą pod uwagę kilka czynników.
Obejmują one możliwości inżynierii społecznej, położenie geograficzne, bliskość ich konfiguracji, oczekiwane zyski finansowe, reputację, luki w zabezpieczeniach i łatwość wykorzystania.
2. Badania docelowe
Następnie badają zachowanie i wzorce online celu. Pomaga im to znaleźć "wodopój" (dowolną stronę internetową innej firmy, którą regularnie odwiedzają). Mogą to być witryny z wiadomościami, fora branżowe, konwertery formatów plików, platformy zakupów online, witryny rezerwacji biletów itp.
3. Zakażenie
Atakujący narażają na szwank jedną lub więcej z tych witryn, wstrzykując do nich złośliwy kod. Kod ten może nakłonić odwiedzających do pobrania złośliwego oprogramowania na ich komputery lub urządzenia.
4. Wabienie
Po umieszczeniu złośliwego kodu w witrynie "wodopoju", źli aktorzy czekają, aż ich cele odwiedzą zaatakowaną witrynę. Stąd analogia do drapieżników czekających przy wodopoju na ofiarę. Zainfekowana strona internetowa jest przynętą dla ofiar, które wpadają w pułapkę.
5. Eksploatacja
Gdy ofiara odwiedza witrynę "wodopoju", jej komputer zostaje zainfekowany złośliwym oprogramowaniem lub przejęty. Może się to zdarzyć poprzez pobieranie drive-by download. W tym przypadku złośliwe oprogramowanie jest automatycznie pobierane i uruchamiane bez wiedzy lub zgody użytkownika.
6. Dostarczanie ładunku
Złośliwe oprogramowanie instalowane za pośrednictwem strony internetowej "watering hole" może zawierać różne ładunki. Zależy to od celu atakującego. Możliwym celem może być uzyskanie nieautoryzowanego dostępu do ich urządzeń i sieci.
7. Pokrycie torów
Gdy atakujący osiągną swoje cele, wykorzystując docelowy system, często próbują zatrzeć ślady. Obejmuje to usuwanie śladów ich obecności poprzez manipulowanie lub usuwanie plików dziennika. Mogą zmieniać znaczniki czasu, usuwać określone wpisy, a nawet manipulować konfiguracjami dziennika, aby całkowicie uniemożliwić rejestrowanie.
Hakerzy mogą nawet wykorzystywać ukryte techniki, takie jak rootkity, aby ukryć swoją obecność w zaatakowanych systemach. Rootkity modyfikują system operacyjny, aby ukryć złośliwe procesy i działania.
Prawdziwy przykład ataku na wodopój
W 2021 r, Grupa doradcza Google ds. zagrożeń (TAG) odkryła serię ataków typu watering hole. Ataki te były ukierunkowane na urządzenia z systemami iOS i macOS. Ataki działały głównie w Hongkongu. Naruszały one bezpieczeństwo stron internetowych i kombinację luk w zabezpieczeniach, w tym exploit zero-day w macOS Catalina (CVE-2021-30869).
Punktami wodopoju były strony internetowe powiązane z mediami i grupą prodemokratyczną. Atakujący zainstalowali backdoora na podatnych urządzeniach za pośrednictwem łańcucha exploitów. Zapewniło im to szereg możliwości. Obejmowały one identyfikację urządzenia, nagrywanie dźwięku, przechwytywanie ekranu, keylogging, manipulowanie plikami i wykonywanie poleceń terminala z uprawnieniami roota.
Ochrona przed atakami typu "watering hole
Zapobieganie atakom typu "watering hole" wymaga połączenia środków cyberbezpieczeństwa i świadomości użytkowników. Oto, co Ty, jako właściciel organizacji, możesz zrobić-
-
Aktualizuj oprogramowanie i wtyczki
Aktualizowanie oprogramowania i wtyczek ma kluczowe znaczenie dla zachowania bezpieczeństwa, ponieważ aktualizacje często zawierają poprawki znanych luk w zabezpieczeniach, chroniąc przed exploitami, które mogą prowadzić do nieautoryzowanego dostępu, naruszenia danych lub infekcji złośliwym oprogramowaniem.
-
Wdrożenie Least Privilege
Postępuj zgodnie z zasadą najmniejszych przywilejów, przyznając użytkownikom tylko te uprawnienia i dostęp, których potrzebują do wykonywania swoich zadań. Ograniczenie uprawnień użytkowników może złagodzić wpływ udanych ataków typu "watering hole". Zmniejsza to bowiem zdolność atakującego do eskalacji uprawnień i poruszania się w sieci.
-
Segmentacja sieci
Podziel swoją sieć na mniejsze i odizolowane segmenty, aby ograniczyć wpływ ataku typu "watering hole". Pozwoli to kontrolować i ograniczyć rozprzestrzenianie się złośliwego oprogramowania. Uniemożliwi to również atakującym dostęp do wrażliwych systemów i danych. Zmniejszenie powierzchni ataku umożliwia priorytetyzację ruchu sieciowego w oparciu o potrzeby biznesowe i krytyczność. Zwiększa to wydajność, zmniejsza przeciążenia i optymalizuje wykorzystanie przepustowości.
-
Wdrożenie filtrowania stron internetowych
Filtrowanie sieci zapobiega atakom typu "watering hole", blokując dostęp do złośliwych stron internetowych. Rozwiązania do filtrowania sieci mogą zapobiegać nieautoryzowanej eksfiltracji danych. Rozwiązania do filtrowania sieci mogą również zapobiegać nieautoryzowanej eksfiltracji danych.
Osiąga się to poprzez blokowanie połączeń wychodzących do znanych serwerów dowodzenia i kontroli używanych przez złośliwe oprogramowanie. Pomaga to ograniczyć wpływ ataków typu watering hole i zapobiec kradzieży lub wyciekowi poufnych informacji.
-
Porzuć starsze systemy
Porzucenie starszych systemów chroni organizacje przed atakami typu "watering hole". Odbywa się to poprzez eliminację przestarzałego oprogramowania i infrastruktury podatnej na exploity.
Nowoczesne systemy i oprogramowanie są wyposażone we wbudowane funkcje bezpieczeństwa. Obejmują one zaawansowane protokoły szyfrowania, bezpieczne praktyki kodowania i możliwości wykrywania zagrożeń. Funkcje te utrudniają atakującym włamanie się do systemów i sieci.
Zakończenie
Potencjał lukratywnych nagród zachęca cyberprzestępców do dalszego stosowania ataków typu "watering hole". Obejmuje to uzyskiwanie nieautoryzowanego dostępu do cennych zasobów lub pozyskiwanie wrażliwych danych.
Bieżące monitorowanie ataków typu "watering hole" pozwala wdrożyć solidne środki cyberbezpieczeństwa. Pomaga to wyprzedzać pojawiające się zagrożenia w stale zmieniającym się krajobrazie cybernetycznym. Ostatecznie chroni to reputację marki i utrzymuje zaufanie klientów.
Jeśli chcesz chronić swoją domenę przed oszustwami e-mailowymi, potrzebujesz naszego Analizator DMARC. Zarejestruj się na bezpłatny okres próbny aby już dziś doświadczyć mocy uwierzytelniania poczty elektronicznej!
- Zmiany w NCSC Mail Check i ich wpływ na bezpieczeństwo poczty elektronicznej w brytyjskim sektorze publicznym - 13 grudnia 2024 r.
- PowerDMARC nazwany liderem G2 w oprogramowaniu DMARC po raz 4. w 2024 roku - 6 grudnia 2024 r.
- Naruszenie danych i phishing e-mailowy w szkolnictwie wyższym - 29 listopada 2024 r.