Video: What is a Watering Hole? (Settembre 2024)
Le campagne "Watering hole" sono più visibili di recente, con i ricercatori che identificano nuovi incidenti quasi ogni giorno. L'attacco che ha compromesso diversi computer su Facebook, Twitter, Apple e Microsoft il mese scorso sembra aver influenzato anche più aziende.
Facebook ha rivelato il mese scorso che alcuni dei suoi sviluppatori erano stati infettati da un Mac Trojan dopo aver visitato un forum di sviluppatori mobili compromesso. A quel tempo, la società ha indicato che anche molte altre società erano state colpite. Sembra che gli aggressori abbiano infettato i dipendenti in "una vasta gamma di aziende target, in diversi settori", ha scoperto il Security Ledger all'inizio di questa settimana. L'elenco delle organizzazioni interessate includeva importanti case automobilistiche, agenzie governative statunitensi e "persino un produttore di caramelle leader", secondo il rapporto.
"L'ampiezza dei tipi di servizi e entità presi di mira non riflette un attacco mirato a un singolo settore tecnologico o industriale", ha dichiarato Joe Sullivan, capo della sicurezza di Facebook, a The Security Ledger .
Che cos'è un watering hole?
Gli aggressori sembrano aver dirottato altri due siti di sviluppo di applicazioni mobili, uno dedicato agli sviluppatori Android, oltre al forum degli sviluppatori di iPhone che ha fatto scattare sviluppatori di Facebook, secondo quanto riferito da The Security Ledger . Altri siti Web - non solo sviluppatori di applicazioni mobili o altri tipi di sviluppo software - sono stati utilizzati anche in questa vasta campagna, secondo fonti che hanno familiarità con l'indagine.
In un attacco da abbeveratoio, gli aggressori compromettono e manipolano un sito Web per fornire malware ai visitatori del sito. Tuttavia, le motivazioni degli aggressori in questo tipo di attacco sono diverse da quelle dei siti di hacking come forma di protesta o intenzione di rubare informazioni o denaro. Invece, questi aggressori stanno sfruttando siti e applicazioni non sicuri per colpire la classe di utenti che probabilmente visiteranno quel determinato sito. Nel caso del sito del Council on Foreign Relations a dicembre, gli aggressori stavano probabilmente cercando di fare qualche soldato e altri che si occupavano di politica estera. È probabile che gli sviluppatori mobili visitino un forum per sviluppatori e l'elenco potrebbe continuare.
Attacco con buche o irrigazione?
Le operazioni di abbeveratoio sembrano essere attacchi del giorno , con nuovi rapporti di siti che vengono compromessi ogni giorno. I laboratori di sicurezza di Websense hanno scoperto ieri che i siti web relativi al governo israeliano ict.org.il e herzliyaconference.org sono stati hackerati per servire un exploit di Internet Explorer. L'attacco ha scaricato un file dropper di Windows e ha aperto una backdoor persistente per comunicare con il server di comando e controllo, ha detto Websense. Labs stimava che gli utenti fossero stati infettati già dal 23 gennaio.
La società ha trovato indizi che suggeriscono che lo stesso gruppo "Elderwood" dietro l'attacco del Council on Foreign Relations era anche alla base di questa campagna.
Il National Journal, una pubblicazione per addetti ai lavori politici a Washington, DC, ha scoperto che stanno offrendo varianti del rootkit ZeroAccess e dell'antivirus falso questa settimana, hanno scoperto i ricercatori di Invincea. Il tempismo dell'attacco è un po 'sorprendente, perché la rivista aveva trovato malware sul suo sito a febbraio e aveva appena protetto il sito e ripulito. L'ultimo attacco ha utilizzato due vulnerabilità Java conosciute e ha indirizzato i visitatori a un sito che ospita il kit exploit Fiesta / NeoSploit.
Perché stanno accadendo questi attacchi?
Secondo Rich Mogull, analista e CEO di Securosis, gli sviluppatori sono "target in genere soft", poiché dispongono di un ampio accesso alle risorse interne e spesso dispongono di diritti di amministratore (o privilegi elevati) sui propri computer. Gli sviluppatori trascorrono molto tempo su vari siti di sviluppo e possono partecipare alle discussioni del forum. Molti di questi siti di forum non dispongono della migliore sicurezza e sono vulnerabili a compromessi.
Indipendentemente dal fatto che l'attaccante stia lanciando un attacco mirato o ancora facendo affidamento su una campagna diffusa per mettere in rete il maggior numero di vittime possibile, i criminali "inseguono il dipendente se si desidera accedere all'impresa", ha scritto Anup Ghosh, CEO e fondatore di Invincea.
Anche se gli aggressori potrebbero aver lanciato una vasta rete e non aver preso di mira specificamente un tipo di utente, i criminali hanno scelto quei siti per un motivo. I siti governativi, le pubblicazioni e i forum degli sviluppatori sono siti ad alto traffico, che offrono agli aggressori un ampio bacino di potenziali vittime.
Una volta che gli aggressori hanno un elenco di vittime, possono identificare le vittime di alto valore e creare il prossimo round di attacchi, che può comportare più ingegneria sociale o istruire il malware residente a scaricare malware aggiuntivo.
Dal punto di vista dell'utente, ciò evidenzia l'importanza di mantenere aggiornati gli strumenti di sicurezza, il software e il sistema operativo con le ultime patch. Gli aggressori non usano solo zero-day; molti degli attacchi in realtà si basano su vulnerabilità vecchie, note, perché le persone non si aggiornano regolarmente. Se il lavoro richiesto richiede l'accesso a siti che utilizzano Java, disporre di un browser dedicato per tali siti e disabilitare Java nel browser predefinito per accedere al resto del Web.
Stai attento là fuori.
