Watering Hole — это стратегия компьютерной атаки , при которой злоумышленник угадывает или наблюдает, какие веб-сайты организация часто использует, и заражает один или несколько из них вредоносным ПО . В конце концов, какой-то член целевой группы заразится. [1] [2] [3] Хакеры, ищущие конкретную информацию, могут атаковать только пользователей, пришедших с определенного IP-адреса . Это также затрудняет обнаружение и исследование хакерских атак. [4] Название происходит от хищников в мире природы, которые ждут возможности напасть на свою добычу возле водопоя . [5]
Одна из наиболее серьезных опасностей атак на водопои заключается в том, что они выполняются через законные веб-сайты, которые невозможно легко внести в черный список. Кроме того, сценарии и вредоносное ПО, используемые в этих атаках, часто создаются тщательно, поэтому антивирусному программному обеспечению сложно идентифицировать их как угрозы. [6]
Веб-сайты часто заражаются через уязвимости нулевого дня в браузерах или другом программном обеспечении. [4] Защита от известных уязвимостей заключается в применении последних исправлений программного обеспечения для устранения уязвимости, которая позволила заразить сайт. Пользователи помогают убедиться, что все их программное обеспечение работает под управлением последней версии. Дополнительной защитой является то, что компании контролируют свои веб-сайты и сети, а затем блокируют трафик в случае обнаружения вредоносного контента. [7] Другие методы защиты включают использование сложных паролей и кодов доступа для доступа к веб-сайтам, а также биометрической информации для защиты данных от атак. Использование веб-инъекций, таких как брандмауэры , или загрузка антивирусного программного обеспечения на устройства также могут защитить от атак. [8] Кроме того, веб-сайты могут усилить защиту, отключив или удалив уязвимое программное обеспечение, такое как Flash и Adobe Reader, которые обычно подвергаются кибератакам.
В декабре 2012 года веб-сайт Совета по международным отношениям был обнаружен вредоносным ПО из-за уязвимости нулевого дня в Microsoft Internet Explorer . В ходе этой атаки вредоносное ПО было развернуто только среди пользователей, использующих Internet Explorer с настройками английского, китайского, японского, корейского и русского языков. [13]
Havex был обнаружен в 2013 году и является одним из пяти известных вредоносных программ, разработанных специально для промышленных систем управления (ICS), разработанных за последнее десятилетие. Energetic Bear начал использовать Havex в широкомасштабной шпионской кампании, направленной против энергетического, авиационного, фармацевтического, оборонного и нефтехимического секторов. Кампания была нацелена на жертв в первую очередь в США и Европе. [14] Havex использовала атаки на цепочки поставок и «водопои» на программное обеспечение поставщиков АСУ ТП, а также проводила целевые фишинговые кампании для получения доступа к системам жертвы. [15]
В середине-начале 2013 года злоумышленники использовали сайт Министерства труда США для сбора информации о пользователях, посещавших сайт. Эта атака была специально нацелена на пользователей, посещающих страницы с контентом, связанным с ядерной тематикой. [16]
В конце 2016 года польский банк обнаружил на компьютерах учреждения вредоносное ПО. Предполагается, что источником этого вредоносного ПО стал веб-сервер Польской финансовой инспекции . [17] Сообщений о каких-либо финансовых потерях в результате этого взлома не поступало. [17]
В 2016–2017 годах в Монреале произошла атака неизвестной организации на уровне организации, вызвавшая утечку данных. [18]
С августа по сентябрь 2017 года установочный двоичный файл CCleaner , распространяемый серверами загрузки поставщика, содержал вредоносное ПО. CCleaner — популярный инструмент для очистки потенциально нежелательных файлов с компьютеров Windows, широко используемый пользователями, заботящимися о безопасности. Двоичные файлы распределенного установщика были подписаны сертификатом разработчика, что делало вероятным, что злоумышленник скомпрометировал среду разработки или сборки и использовал ее для внедрения вредоносного ПО. [19] [20]
В июне 2017 года вредоносная программа NotPetya (также известная как ExPetr), предположительно возникшая в Украине, взломала веб-сайт правительства Украины. Вектор атаки был от пользователей сайта, скачавших его. Вредоносная программа стирает содержимое жестких дисков жертв. [21]
С конца 2017 года по март 2018 года в Китае произошла атака на общенациональный уровень, организованная группой «LuckyMouse», также известной как «Iron Tiger», «EmissaryPanda», « APT 27» и «Threat Group-3390». [22]
В 2019 году атака на водопой под названием «Кампания Святой воды» была нацелена на азиатские религиозные и благотворительные группы. [23] Жертвам было предложено обновить Adobe Flash , что и спровоцировало атаку. Он был креативным и особенным благодаря своей быстрой эволюции. [24] Мотив остается неясным. [24] Эксперты предоставили подробный технический анализ вместе с длинным списком индикаторов компрометации (IoC), задействованных в кампании, но ни один из них не был связан с продвинутой постоянной угрозой. [25]
В США совместный гражданский иск, поданный Американским союзом гражданских свобод (ACLU), Клиникой гражданских свобод и прозрачности и Privacy International против различных ветвей правительства США, утверждал, что правительство США использовало атаки на водопои в ходе нового массового вторжения. конфиденциальности простых граждан. Кроме того, характер гражданского иска заключался в непредоставлении соответствующих документов в рамках запроса FOIA различным агентствам. Список ACLU и Privacy International и др. против агентств США доступен на сайте Courtlistener.com.