Ataques em bebedouros: Definição, perigos e prevenção

Blog

Os ataques Watering hole comprometem sítios Web aparentemente inofensivos e põem em perigo os dados da sua organização. Saiba como funcionam e como reforçar a sua segurança cibernética.

por Ahona Rudra

Tempo de leitura: 5 min
Ataques em bebedouros: Definição, perigos e prevenção
Índice-

Os CISO e as organizações esforçam-se por se manterem a par das ferramentas, técnicas e práticas de cibersegurança. No entanto, os agentes de ameaças inovam continuamente para serem mais espertos do que eles. Uma dessas técnicas que utilizam é o ataque watering hole. Quando o seu ecossistema técnico está protegido e os seus funcionários têm formação para evitar a manipulação, os cibercriminosos podem visar serviços de terceiros. Isto é feito para explorar vulnerabilidades e causar danos à sua organização.

História dos ataques a bares 

O termo "ataque ao charco" tem origem numa antiga estratégia de caça. Os caçadores dos tempos antigos achavam inconveniente perseguir as presas. Isto porque as presas eram idealmente mais rápidas e muito mais ágeis do que os humanos. Uma solução muito melhor era colocar armadilhas onde as presas se reuniam. Locais como as margens de um rio ou um charco atraíam as presas para beber água. 

Os caçadores ficavam à espreita no bebedouro, à espera que a guarda da sua presa baixasse para a poderem apanhar facilmente. O mesmo se aplica a esta técnica emergente de ciberataque. 

Definição de ataque a um bebedouro

Um ataque watering hole é um ciberataque em que os agentes da ameaça comprometem os utilizadores finais adivinhando ou observando os sítios Web que estes visitam frequentemente. Os atacantes pretendem infetar os sítios Web com malware para se infiltrarem no dispositivo de um alvo. Depois, podem utilizar o dispositivo infetado para obter acesso à rede organizacional do alvo.  

Por exemplo, um hacker tem como objetivo explorar o computador de uma empresa. Mas os seus sistemas de cibersegurança e as práticas de ciber-higiene dos empregados impedem-no de se infiltrar. No entanto, o hacker sabe que os RH encomendam bolos de uma determinada pastelaria online para o aniversário de cada funcionário. Agora, vão esperar que os RH visitem o sítio Web da pastelaria. Lançam malware ou códigos executáveis no dispositivo do RH. Isto permitir-lhes-á, em última análise, entrar no ecossistema da empresa.

Os ataques do tipo "watering hole" são perigosos porque são difíceis de detetar e eliminar. Quando se aperceber da sua presença, os hackers já terão causado danos suficientes à sua empresa. 

Ciclo de vida completo de um ataque a um bebedouro

Um ataque típico a um bar se desenvolve nas seguintes etapas:

1. Identificação do sítio Web

Os agentes de ameaças seleccionam frequentemente os seus sítios Web com vulnerabilidades de segurança, ou seja, com más práticas de segurança. Os seus alvos podem ser empregados de uma determinada empresa, membros de uma indústria específica ou utilizadores de um determinado software ou serviço. Têm em conta vários factores para localizar um alvo ideal. 

Estas incluem oportunidades de engenharia social, localização geográfica, proximidade da sua instalação, ganhos financeiros esperados, reputação, vulnerabilidades e facilidade de exploração.

2. Investigação de objectivos

De seguida, pesquisam o comportamento e os padrões online do alvo. Isto ajuda-os a encontrar um ponto de encontro (qualquer sítio Web de terceiros que visitem regularmente). Estes podem ser sítios Web de notícias, fóruns da indústria, conversores de formatos de ficheiros, plataformas de compras em linha, sítios Web de reserva de bilhetes, etc. 

3. Infeção

Os atacantes comprometem um ou mais destes sítios Web, injectando-lhes código malicioso. Este código pode induzir os visitantes a descarregar malware para os seus computadores ou dispositivos.

4. Atrair

Depois de o código malicioso ser colocado no sítio Web do "furo de água", os maus actores esperam que os seus alvos visitem o sítio Web comprometido. Daí a analogia com os predadores que aguardam a presa num charco. O sítio Web infetado é o chamariz ou isco para as vítimas caírem na armadilha.

5. Exploração

Quando a vítima visita o sítio Web "watering hole", o seu computador é infetado com malware ou fica comprometido. Isto pode acontecer através de descarregamentos "drive-by". Neste caso, o malware é descarregado automaticamente e executado sem o conhecimento ou consentimento do utilizador.

6. Entrega da carga útil

O malware instalado através do site 'watering hole' pode incluir vários payloads. Isto depende do objetivo do atacante. Obter acesso não autorizado aos seus dispositivos e redes pode ser um objetivo possível.

7. Cobertura de trajectos

Depois de os atacantes terem atingido os seus objectivos explorando o sistema visado, tentam frequentemente encobrir os seus rastos. Isto envolve a remoção de vestígios da sua presença através da manipulação ou eliminação de ficheiros de registo. Podem alterar os carimbos de data/hora, apagar entradas específicas ou mesmo adulterar as configurações de registo para impedir completamente o registo.

Os piratas informáticos podem até utilizar técnicas furtivas, como os rootkits, para ocultar a sua presença em sistemas comprometidos. Os rootkits modificam o sistema operativo para esconder processos e actividades maliciosas.

Exemplo real de um ataque a um bar

fonte

Em 2021, o Grupo Consultivo sobre Ameaças (TAG) da Google descobriu uma série de ataques de watering hole. Estes ataques visavam dispositivos iOS e macOS. Os ataques estavam a operar principalmente em Hong Kong. Comprometeram sítios Web e uma combinação de vulnerabilidades, incluindo uma exploração de dia zero no macOS Catalina (CVE-2021-30869).

Os pontos de acesso eram sítios Web ligados a um meio de comunicação social e a um grupo pró-democracia. Os atacantes instalaram uma backdoor em dispositivos vulneráveis através da cadeia de exploração. Isto proporcionou-lhes uma série de capacidades. Estas incluíam a identificação do dispositivo, a gravação de áudio, a captura de ecrã, o registo de teclas, a manipulação de ficheiros e a execução de comandos de terminal com privilégios de raiz.

Proteção contra ataques do tipo Watering Hole

A prevenção de ataques de watering hole envolve uma combinação de medidas de cibersegurança e de sensibilização dos utilizadores. Eis o que pode fazer, enquanto proprietário de uma organização

  • Mantenha o seu software e plugins actualizados

Manter o software e os plug-ins actualizados é crucial para manter a segurança, uma vez que as actualizações incluem frequentemente correcções para vulnerabilidades conhecidas, protegendo contra explorações que podem conduzir a acessos não autorizados, violações de dados ou infecções por malware.

  • Implementar o privilégio mínimo

Siga o princípio do menor privilégio, concedendo aos utilizadores apenas as permissões e o acesso de que necessitam para desempenhar as suas funções. Limitar os privilégios dos utilizadores pode atenuar o impacto de ataques de watering hole bem sucedidos. Isto porque reduz a capacidade do atacante de aumentar os privilégios e mover-se lateralmente na rede.

  • Segmentação de rede

Divida a sua rede em segmentos mais pequenos e isolados para limitar o impacto de um ataque do tipo "watering hole". Isto permitir-lhe-á controlar e conter a propagação de malware. Também impede que os atacantes acedam a sistemas e dados sensíveis. A redução da superfície de ataque permite a priorização do tráfego de rede com base nas necessidades e na criticidade do negócio. Isto melhora o desempenho, reduz o congestionamento e optimiza a utilização da largura de banda.

  • Implementar a filtragem da Web

A filtragem da Web impede ataques de watering hole, bloqueando o acesso a sítios Web maliciosos. As soluções de filtragem da Web podem impedir a exfiltração não autorizada de dados. As soluções de filtragem da Web também podem impedir a exfiltração não autorizada de dados. 

Isto é conseguido através do bloqueio de ligações de saída a servidores de comando e controlo conhecidos utilizados por malware. Isto ajuda a conter o impacto dos ataques de watering hole e a evitar o roubo ou a fuga de informações sensíveis.

  • Abandonar os sistemas antigos 

Abandonar os sistemas antigos protege as organizações de ataques do tipo watering hole. Isto é feito eliminando software desatualizado e infra-estruturas vulneráveis à exploração.

Os sistemas e software modernos estão equipados com funcionalidades de segurança incorporadas. Estas incluem protocolos de encriptação avançados, práticas de codificação seguras e capacidades de deteção de ameaças. Estas características tornam mais difícil para os atacantes comprometerem sistemas e redes.

Envolvimento

O potencial de recompensas lucrativas incentiva os cibercriminosos a continuarem a empregar ataques do tipo watering hole. Isto inclui a obtenção de acesso não autorizado a recursos valiosos ou a obtenção de dados sensíveis.

A monitorização contínua de ataques de "watering hole" permite-lhe implementar medidas robustas de cibersegurança. Isto ajuda-o a manter-se à frente das ameaças emergentes no cenário cibernético em constante evolução. No final, isto salvaguarda a reputação da sua marca e mantém a confiança dos clientes.

Se pretende proteger o seu domínio contra fraudes de correio eletrónico, precisa do nosso analisador DMARC. Registe-se para um teste gratuito para experimentar o poder da autenticação de correio eletrónico hoje mesmo!

Últimos posts de Ahona Rudra (ver todos)
Como publicar um registo DMARC em 3 passospublicar o blogue dmarc recordPrivacidade de dados na comunicação por correio eletrónico: Conformidade, riscos e melhores práticas