Атака на водопой

Стратегия компьютерной атаки

Watering hole — это стратегия компьютерной атаки , при которой злоумышленник угадывает или наблюдает, какие веб-сайты организация часто использует, и заражает один или несколько из них вредоносным ПО . В конце концов, какой-то член целевой группы будет заражен. ^{[1] [2] [3]} Хакеры, ищущие определенную информацию, могут атаковать только пользователей, приходящих с определенного IP-адреса . Это также затрудняет обнаружение и исследование взломов. ^[4] Название происходит от хищников в естественной среде, которые ждут возможности напасть на свою добычу возле водопоев . ^[5]

Одной из самых существенных опасностей атак типа «водяная яма» является то, что они выполняются через легитимные веб-сайты, которые невозможно легко внести в черный список. Кроме того, скрипты и вредоносные программы, используемые в этих атаках, часто создаются тщательно, что затрудняет для антивирусного программного обеспечения идентификацию их как угроз. ^[6]

Методы защиты

Веб-сайты часто заражаются через уязвимости нулевого дня в браузерах или другом программном обеспечении. ^[4] Защита от известных уязвимостей заключается в применении последних исправлений программного обеспечения для устранения уязвимости, которая позволила заразить сайт. Этому помогают пользователи, чтобы убедиться, что все их программное обеспечение работает в последней версии. Дополнительная защита заключается в том, что компании отслеживают свои веб-сайты и сети, а затем блокируют трафик при обнаружении вредоносного контента. ^[7] Другие методы защиты включают использование сложных паролей и ключей доступа для доступа к веб-сайтам, а также биометрической информации для защиты данных от атак. Использование веб-инъекций, таких как брандмауэры или загрузка антивирусного программного обеспечения на устройства, также может защитить от атак. ^[8] Кроме того, веб-сайты могут усилить защиту, отключив или удалив уязвимое программное обеспечение, такое как Flash и Adobe Reader, которое обычно является целью кибератак.

Примеры

2011

• Операция «Торпедо» — правительство США провело атаку на 3 веб-сайта Tor (сети) . ФБР захватило доступ к веб-сайтам и продолжало управлять ими в течение 19 дней. В это время веб-сайты были изменены для обслуживания NIT, который пытался раскрыть посетителей, раскрывая их IP-адрес, операционную систему и веб-браузер. Код NIT был раскрыт в рамках дела США против Коттома и др . Исследователи из Университета Небраски в Кирни и Университета штата Дакота изучили код NIT и обнаружили, что это было приложение Adobe Flash , которое отправляло пинг реального IP-адреса пользователя обратно на контролируемый ФБР сервер, вместо того чтобы направлять его трафик через сеть Tor и защищать его личность. Оно использовало технику из «движка демаскировки» Metasploit и затрагивало только пользователей, которые не обновили свой веб-браузер Tor . ^{[9] [10] [11] [12]}

Совет США по международным отношениям 2012 г.

В декабре 2012 года было обнаружено, что веб-сайт Совета по международным отношениям был заражен вредоносным ПО через уязвимость нулевого дня в Internet Explorer от Microsoft . В этой атаке вредоносное ПО было установлено только для пользователей, использующих Internet Explorer с установленными на английском, китайском, японском, корейском и русском языках. ^[13]

Атака на цепочку поставок программного обеспечения Havex ICS в 2013 году

Havex был обнаружен в 2013 году и является одним из пяти известных вредоносных программ, разработанных для промышленных систем управления (ICS) за последнее десятилетие. Energetic Bear начал использовать Havex в широкомасштабной шпионской кампании, нацеленной на энергетический, авиационный, фармацевтический, оборонный и нефтехимический секторы. Кампания была нацелена на жертв в основном в Соединенных Штатах и ​​Европе. ^[14] Havex использовал атаки на цепочки поставок и watering hole на программное обеспечение поставщиков ICS в дополнение к кампаниям целевого фишинга, чтобы получить доступ к системам жертв. ^[15]

2013 Министерство труда США

В середине начала 2013 года злоумышленники использовали веб-сайт Министерства труда США для сбора информации о пользователях, которые посещали веб-сайт. Эта атака была специально нацелена на пользователей, посещавших страницы с содержанием, связанным с ядерной тематикой. ^[16]

2015

• Операция Pacifier - Правительство США захватило веб-сайт Tor (сети) и установило вредоносное ПО на основе " Network Investigative Technique " (NIT) для взлома веб-браузеров пользователей, заходящих на сайт, тем самым раскрывая их личности. Операция привела к аресту 956 пользователей сайта и пяти тюремным срокам.

Польские банки 2016 г.

В конце 2016 года польский банк обнаружил вредоносное ПО на компьютерах учреждения. Предполагается, что источником этого вредоносного ПО был веб-сервер Польской службы финансового надзора . ^[17] Сообщений о каких-либо финансовых потерях в результате этого взлома не поступало. ^[17]

Атака на Международную организацию гражданской авиации в Монреале в 2017 году

В 2016–2017 годах в Монреале была совершена атака типа «водопад» на уровне организации, совершенная неизвестным лицом, что привело к утечке данных. ^[18]

Атака CCleaner 2017 года

С августа по сентябрь 2017 года установочный двоичный файл CCleaner , распространяемый серверами загрузки поставщика, включал вредоносное ПО. CCleaner — популярный инструмент, используемый для очистки потенциально нежелательных файлов с компьютеров Windows, широко используемый пользователями, заботящимися о безопасности. Распространяемые двоичные файлы установщика были подписаны сертификатом разработчика, что делало вероятным, что злоумышленник скомпрометировал среду разработки или сборки и использовал ее для внедрения вредоносного ПО. ^{[19] [20]}

Атака NotPetya 2017 года

В июне 2017 года вредоносная программа NotPetya (также известная как ExPetr), предположительно возникшая на Украине, скомпрометировала украинский правительственный веб-сайт. Вектором атаки были пользователи сайта, загружавшие ее. Вредоносная программа стирает содержимое жестких дисков жертв. ^[21]

Атака на уровне страны в Китае в 2018 году

С конца 2017 года по март 2018 года в Китае была совершена общенациональная атака, организованная группой «LuckyMouse», также известной как «Iron Tiger», «EmissaryPanda», « APT 27» и «Threat Group-3390». ^[22]

Кампания по святой воде 2019 года

В 2019 году атака watering hole под названием Holy Water Campaign была нацелена на азиатские религиозные и благотворительные группы. ^[23] Жертвам было предложено обновить Adobe Flash , что инициировало атаку. Она была креативной и отличительной из-за своей быстрой эволюции. [ ^24] Мотив остается неясным. ^[24] Эксперты предоставили подробный технический анализ вместе с длинным списком индикаторов компрометации (IoCs), задействованных в кампании, но ни один из них не удалось отследить до Advanced Persistent Threat. ^[25]

Споры о массовом наблюдении/вторжении в частную жизнь в США

В США совместный гражданский иск, поданный Американским союзом гражданских свобод (ACLU), Клиникой гражданских свобод и прозрачности и Privacy International против различных ветвей правительства США, утверждал, что правительство США использовало атаки на водопои в новом массовом вторжении в частную жизнь рядовых граждан. Кроме того, характер гражданского иска заключался в неспособности предоставить соответствующие документы в рамках запроса FOIA в различные агентства. ACLU и Privacy International et al против Агентств США доступны на Courtlistener.com

Смотрите также

• Вредоносная реклама

Ссылки

1. Gragido, Will (20 июля 2012 г.). «Львы на водопое – Дело «VOHO»». Блог RSA . Корпорация EMC .
2. Хаастер, Джелле Ван; Геверс, Рики; Спренгерс, Мартейн (13 июня 2016 г.). Кибер-партизан. Сингресс. п. 57. ИСБН 9780128052846.
3. Миллер, Джозеф Б. (2014). Интернет-технологии и информационные услуги, 2-е издание. ABC-CLIO. стр. 123. ISBN 9781610698863.
4. Symantec. Отчет об угрозах безопасности в Интернете, апрель 2016 г., стр. 38 [1]
5. Рауз, Маргарет. «Что такое атака типа «водяная яма»?». SearchSecurity . Получено 2017-04-03 .
6. APOSTOL, Mihai; PALINIUC, Bogdan; MORAR, Rareș; VIDU, Florin (2022-05-18). «Злонамеренная стратегия: атаки на водопои». Romanian Cyber ​​Security Journal . 4 (1): 29–37. doi : 10.54851/v4i1y202204 . ISSN  2668-6430.
7. Граймс, Роджер А. «Остерегайтесь атак с использованием водопоев — новейшего скрытного оружия хакеров». InfoWorld . Получено 03.04.2017 .
8. Исмаил, Хайрун Ашикин; Сингх, Манмит Махинджит; Мустафа, Норлия; Кейхосрокиани, Пантеа; Зулкефли, Закия (01 января 2017 г.). «Стратегии безопасности для предотвращения киберпреступных атак». Procedia Информатика . 4-я Международная конференция по информационным системам 2017, ISICO 2017, 6-8 ноября 2017 г., Бали, Индонезия. 124 : 656–663. дои : 10.1016/j.procs.2017.12.202 . ISSN  1877-0509.
9. «Федералы взломали огромный скрытый в Tor сайт с детской порнографией, использовавший сомнительное вредоносное ПО». Ars Technica. 2015-07-16 . Получено 2020-01-19 .
10. Кевин Поулсен (Wired.com) (30.06.2015). "FBI Tor busting 227 1". Documentcloud.org . Получено 19.01.2020 .
11. Эшли Подхрадски (17.01.2017). "Scholarly Commons - Ежегодная конференция ADFSL по цифровой криминалистике, безопасности и праву: обратная разработка nit, которая разоблачает пользователей Tor". Ежегодная конференция Adfsl по цифровой криминалистике, безопасности и праву . Commons.erau.edu . Получено 19.01.2020 .
12. Поулсен, Кевин. «ФБР использовало любимый хакерский инструмент Интернета, чтобы разоблачить пользователей Tor». WIRED . Получено 19 января 2020 г.
13. "Веб-сайт Совета по международным отношениям подвергся атаке Watering Hole, эксплойт IE Zero-Day". Threatpost . 29-12-2012 . Получено 02-04-2017 .
14. "Вредоносное ПО, ориентированное на ICS". ics-cert.us-cert.gov . Получено 2020-12-09 .
15. "Полное раскрытие информации о троянах Havex". Netresec . 27 октября 2014 г. Получено 09.12.2020 .
16. «Подтверждено, что атака на Watering Hole Министерства труда является атакой нулевого дня с возможными расширенными возможностями разведки». blogs@Cisco — блоги Cisco . 4 мая 2013 г. Получено 03.04.2017 г.
17. "Злоумышленники атакуют десятки мировых банков с помощью нового вредоносного ПО". Symantec Security Response . Получено 2017-04-02 .
18. ««Нулевым пациентом» кибератаки на авиационное агентство ООН оказался сын высокопоставленного чиновника, сообщает электронное письмо | CBC News». 2023-02-20. Архивировано из оригинала 2023-02-20 . Получено 26.12.2023 .
19. "CCleanup: Огромное количество машин под угрозой". blogs@Cisco - Блоги Cisco . Получено 19 сентября 2017 г.
20. "Уведомление о безопасности для CCleaner v5.33.6162 и CCleaner Cloud v1.07.3191 для пользователей 32-разрядной версии Windows". blogs@Piriform - Блоги Piriform . Получено 19 сентября 2017 г.
21. «Исследователи обнаружили ссылки BlackEnergy APT в коде ExPetr». 3 июля 2017 г.
22. «Китайские хакеры осуществили атаку на сеть ресторанов быстрого питания на уровне страны».
23. «Kaspersky раскрывает креативную атаку на водопой, обнаруженную в дикой природе». Kaspersky . 26 мая 2021 г.
24. "Святая вода: продолжающаяся целевая атака с использованием водопоев в Азии". securelist.com . 31 марта 2020 г. Получено 05.08.2020 г.
25. "Святая вода: продолжающаяся целевая атака с использованием водопоев в Азии". securelist.com . 31 марта 2020 г. Получено 03.02.2022 .