Атака на водопой

Стратегия компьютерной атаки

Watering Hole — это стратегия компьютерной атаки , при которой злоумышленник угадывает или наблюдает, какие веб-сайты организация часто использует, и заражает один или несколько из них вредоносным ПО . В конце концов, какой-то член целевой группы заразится. ^{[1] [2] [3]} Хакеры, ищущие конкретную информацию, могут атаковать только пользователей, пришедших с определенного IP-адреса . Это также затрудняет обнаружение и исследование хакерских атак. ^[4] Название происходит от хищников в мире природы, которые ждут возможности напасть на свою добычу возле водопоя . ^[5]

Одна из наиболее серьезных опасностей атак на водопои заключается в том, что они выполняются через законные веб-сайты, которые невозможно легко внести в черный список. Кроме того, сценарии и вредоносное ПО, используемые в этих атаках, часто создаются тщательно, поэтому антивирусному программному обеспечению сложно идентифицировать их как угрозы. ^[6]

Техники защиты

Веб-сайты часто заражаются через уязвимости нулевого дня в браузерах или другом программном обеспечении. ^[4] Защита от известных уязвимостей заключается в применении последних исправлений программного обеспечения для устранения уязвимости, которая позволила заразить сайт. Пользователи помогают убедиться, что все их программное обеспечение работает под управлением последней версии. Дополнительной защитой является то, что компании контролируют свои веб-сайты и сети, а затем блокируют трафик в случае обнаружения вредоносного контента. ^[7] Другие методы защиты включают использование сложных паролей и кодов доступа для доступа к веб-сайтам, а также биометрической информации для защиты данных от атак. Использование веб-инъекций, таких как брандмауэры , или загрузка антивирусного программного обеспечения на устройства также могут защитить от атак. ^[8] Кроме того, веб-сайты могут усилить защиту, отключив или удалив уязвимое программное обеспечение, такое как Flash и Adobe Reader, которые обычно подвергаются кибератакам.

Примеры

2011 год

• Операция «Торпедо ». Правительство США провело атаку на 3 веб-сайта Tor (сети) . ФБР перекрыло доступ к веб-сайтам и продолжало управлять ими в течение 19 дней. За это время веб-сайты были модифицированы для обслуживания NIT, который пытался разоблачить посетителей, раскрывая их IP-адрес, операционную систему и веб-браузер. Код NIT был раскрыт в рамках дела США против Коттома и др . Исследователи из Университета Небраски в Кирни и Университета штата Дакота проанализировали код NIT и обнаружили, что это приложение Adobe Flash , которое отправляет реальный IP-адрес пользователя обратно на сервер, контролируемый ФБР, вместо того, чтобы маршрутизировать его трафик через сеть Tor и защищать его. их идентичность. Он использовал технику «движка деклоакинга» Metasploit и затрагивал только пользователей, которые не обновили свой веб-браузер Tor . ^{[9] [10] [11] [12]}

2012 Совет США по международным отношениям

В декабре 2012 года веб-сайт Совета по международным отношениям был обнаружен вредоносным ПО из-за уязвимости нулевого дня в Microsoft Internet Explorer . В ходе этой атаки вредоносное ПО было развернуто только среди пользователей, использующих Internet Explorer с настройками английского, китайского, японского, корейского и русского языков. ^[13]

Атака на цепочку поставок программного обеспечения Havex ICS, 2013 г.

Havex был обнаружен в 2013 году и является одним из пяти известных вредоносных программ, разработанных специально для промышленных систем управления (ICS), разработанных за последнее десятилетие. Energetic Bear начал использовать Havex в широкомасштабной шпионской кампании, направленной против энергетического, авиационного, фармацевтического, оборонного и нефтехимического секторов. Кампания была нацелена на жертв в первую очередь в США и Европе. ^[14] Havex использовала атаки на цепочки поставок и «водопои» на программное обеспечение поставщиков АСУ ТП, а также проводила целевые фишинговые кампании для получения доступа к системам жертвы. ^[15]

2013 Министерство труда США

В середине-начале 2013 года злоумышленники использовали сайт Министерства труда США для сбора информации о пользователях, посещавших сайт. Эта атака была специально нацелена на пользователей, посещающих страницы с контентом, связанным с ядерной тематикой. ^[16]

2015 год

• Операция «Соска» — правительство США захватило веб-сайт Tor (сеть) и установило вредоносное ПО « Техника сетевого расследования » (NIT) для взлома веб-браузеров пользователей, получающих доступ к сайту, тем самым раскрывая их личности. В результате операции были арестованы 956 пользователей сайта и приговорены к тюремному заключению пять человек.

2016 Польские банки

В конце 2016 года польский банк обнаружил на компьютерах учреждения вредоносное ПО. Предполагается, что источником этого вредоносного ПО стал веб-сервер Польской финансовой инспекции . ^[17] Сообщений о каких-либо финансовых потерях в результате этого взлома не поступало. ^[17]

Атака Международной организации гражданской авиации в Монреале, 2017 г.

В 2016–2017 годах в Монреале произошла атака неизвестной организации на уровне организации, вызвавшая утечку данных. ^[18]

Атака CCleaner, 2017 г.

С августа по сентябрь 2017 года установочный двоичный файл CCleaner , распространяемый серверами загрузки поставщика, содержал вредоносное ПО. CCleaner — популярный инструмент для очистки потенциально нежелательных файлов с компьютеров Windows, широко используемый пользователями, заботящимися о безопасности. Двоичные файлы распределенного установщика были подписаны сертификатом разработчика, что делало вероятным, что злоумышленник скомпрометировал среду разработки или сборки и использовал ее для внедрения вредоносного ПО. ^{[19] [20]}

Атака NotPetya, 2017 г.

В июне 2017 года вредоносная программа NotPetya (также известная как ExPetr), предположительно возникшая в Украине, взломала веб-сайт правительства Украины. Вектор атаки был от пользователей сайта, скачавших его. Вредоносная программа стирает содержимое жестких дисков жертв. ^[21]

Атака на уровне страны в Китае в 2018 г.

С конца 2017 года по март 2018 года в Китае произошла атака на общенациональный уровень, организованная группой «LuckyMouse», также известной как «Iron Tiger», «EmissaryPanda», « APT 27» и «Threat Group-3390». ^[22]

Акция «Святая вода» 2019 г.

В 2019 году атака на водопой под названием «Кампания Святой воды» была нацелена на азиатские религиозные и благотворительные группы. ^[23] Жертвам было предложено обновить Adobe Flash , что и спровоцировало атаку. Он был креативным и особенным благодаря своей быстрой эволюции. ^[24] Мотив остается неясным. ^[24] Эксперты предоставили подробный технический анализ вместе с длинным списком индикаторов компрометации (IoC), задействованных в кампании, но ни один из них не был связан с продвинутой постоянной угрозой. ^[25]

Споры о массовой слежке / вторжении в частную жизнь в США

В США совместный гражданский иск, поданный Американским союзом гражданских свобод (ACLU), Клиникой гражданских свобод и прозрачности и Privacy International против различных ветвей правительства США, утверждал, что правительство США использовало атаки на водопои в ходе нового массового вторжения. конфиденциальности простых граждан. Кроме того, характер гражданского иска заключался в непредоставлении соответствующих документов в рамках запроса FOIA различным агентствам. Список ACLU и Privacy International и др. против агентств США доступен на сайте Courtlistener.com.

Смотрите также

• Вредоносная реклама

Рекомендации

1. Граджидо, Уилл (20 июля 2012 г.). «Львы на водопое - Дело «ВОХО»». Блог РСА . Корпорация ЕМС .
2. Хаастер, Джелле Ван; Геверс, Рики; Спренгерс, Мартейн (13 июня 2016 г.). Кибер-партизан. Сингресс. п. 57. ИСБН 9780128052846.
3. Миллер, Джозеф Б. (2014). Интернет-технологии и информационные услуги, 2-е издание. АВС-КЛИО. п. 123. ИСБН 9781610698863.
4. Symantec. Отчет об угрозах интернет-безопасности, апрель 2016 г., стр. 38 https://www.symantec.com/content/dam/symantec/docs/reports/istr-21-2016-en.pdf
5. Роуз, Маргарет. «Что такое атака на водопой?». Поисковая безопасность . Проверено 3 апреля 2017 г.
6. АПОСТОЛ, Михай; ПАЛИНЮК, Богдан; МОРАР, Рареш; ВИДУ, Флорин (18 мая 2022 г.). «Вредоносная стратегия: атаки на водопои». Румынский журнал кибербезопасности . 4 (1): 29–37. дои : 10.54851/v4i1y202204 . ISSN  2668-6430.
7. Граймс, Роджер А. «Остерегайтесь атак на водоемы - новейшее скрытное оружие хакеров». Инфомир . Проверено 3 апреля 2017 г.
8. Исмаил, Хайрун Ашикин; Сингх, Манмит Махинджит; Мустафа, Норлия; Кейхосрокиани, Пантеа; Зулкефли, Закия (01 января 2017 г.). «Стратегии безопасности для предотвращения киберпреступных атак». Procedia Информатика . 4-я Международная конференция по информационным системам 2017, ISICO 2017, 6-8 ноября 2017 г., Бали, Индонезия. 124 : 656–663. дои : 10.1016/j.procs.2017.12.202 . ISSN  1877-0509.
9. «Федералы взломали огромный сайт детской порнографии, скрытый в Tor, используя сомнительное вредоносное ПО» . Арс Техника. 16 июля 2015 г. Проверено 19 января 2020 г.
10. Кевин Поулсен (Wired.com) (30 июня 2015 г.). «ФБР арестовало Tor 227 1» . Documentcloud.org . Проверено 19 января 2020 г.
11. Эшли Подградски (17 января 2017 г.). «Scholarly Commons - Ежегодная конференция ADFSL по цифровой криминалистике, безопасности и праву: обратный инжиниринг нит, который разоблачает пользователей Tor». Ежегодная конференция Adfsl по цифровой криминалистике, безопасности и праву . Commons.erau.edu . Проверено 19 января 2020 г.
12. Поулсен, Кевин. «ФБР использовало любимый хакерский инструмент в Интернете, чтобы разоблачить пользователей Tor». ПРОВОДНОЙ . Проверено 19 января 2020 г.
13. «Веб-сайт Совета по международным отношениям пострадал от атаки на водопой, эксплойт нулевого дня в IE» . Угрозапост . 29 декабря 2012 г. Проверено 2 апреля 2017 г.
14. «Вредоносное ПО, ориентированное на ICS» . ics-cert.us-cert.gov . Проверено 9 декабря 2020 г.
15. «Полное раскрытие троянов Havex» . Нетресек . 27 октября 2014 года . Проверено 9 декабря 2020 г.
16. «Атака на водопой Министерства труда подтверждена как нулевой день с возможными расширенными возможностями разведки» . blogs@Cisco — блоги Cisco . 4 мая 2013 года . Проверено 3 апреля 2017 г.
17. «Злоумышленники атаковали десятки банков по всему миру с помощью нового вредоносного ПО». Ответ безопасности Symantec . Проверено 2 апреля 2017 г.
18. «Нулевым пациентом» в кибератаке на авиационное агентство ООН был сын высокопоставленного чиновника, как следует из электронного письма | CBC News» . 20 февраля 2023 г. Архивировано из оригинала 20 февраля 2023 г. Проверено 26 декабря 2023 г.
19. «CCleanup: огромное количество машин под угрозой» . blogs@Cisco — блоги Cisco . Проверено 19 сентября 2017 г.
20. «Уведомление о безопасности для CCleaner v5.33.6162 и CCleaner Cloud v1.07.3191 для пользователей 32-разрядной версии Windows» . blogs@Piriform — Блоги Piriform . Проверено 19 сентября 2017 г.
21. «Исследователи находят ссылки BlackEnergy APT в коде ExPetr» . 3 июля 2017 г.
22. «Китайские хакеры провели атаку на водопой на уровне страны» .
23. "Касперский обнаруживает креативную атаку на водопой, обнаруженную в дикой природе" . Касперский . 26 мая 2021 г.
24. «Святая вода: продолжающаяся целенаправленная атака по сбору воды в Азии». Securelist.com . 31 марта 2020 г. Проверено 5 августа 2020 г.
25. «Святая вода: продолжающаяся целенаправленная атака по сбору воды в Азии» . Securelist.com . 31 марта 2020 г. Проверено 3 февраля 2022 г.