Atak na wodopój, jako termin, wywodzi się z polowania. Zamiast podążać za ofiarą, aby ją zabić, myśliwy może ustalić jej najbardziej prawdopodobne miejsce docelowe (zwykle zbiornik wodny) i zastawić tam pułapkę. W końcu, jeśli wszystko pójdzie zgodnie z planem myśliwego, ofiara z własnej woli wpadnie w pułapkę.
Podobnie cyberprzestępcy wykorzystują ataki z wodopoju, aby zastawiać pułapki i czekać, aż nieświadome ofiary padną ofiarą. Więc co to za ataki? A jak można chronić się przed atakami wodopoju?
Co to jest atak wodopoju?
W przypadku ataku typu „watering hole” atakujący atakuje określoną witrynę internetową lub grupę witryn internetowych, o których wiadomo, że są odwiedzane przez ofiary, które próbują naruszyć. Ideą tego cyberataku jest „zatrucie wodopoju” poprzez skompromitowanie docelowych stron internetowych, a następnie czekanie na odwiedziny ofiar; w tym momencie zostaną zainfekowane złośliwym oprogramowaniem.
Kiedy atak wodopoju zakończy się sukcesem, atakujący może przejąć kontrolę nad systemami ofiary, umożliwiając jej kradzież danych lub zainstalowanie złośliwych programów, takich jak ransomware lub keyloggery. Atakujący mogą również wykorzystać zainfekowane systemy do przeprowadzenia dalszych ataków, takich jak Rozproszona odmowa usługi (DDoS) Lub kampanie phishingowe.
Jak atakujący przeprowadzają ataki na wodopoje?
Ataki wodopoju są rodzajem Zaawansowane trwałe zagrożenie (APT) wykorzystywane przez cyberprzestępców w celu uzyskania dostępu do sieci określonej organizacji. Ataki te biorą swoją nazwę od koncepcji wodopoju, co sugeruje, że atakujący celują w witrynę odwiedzaną przez określoną grupę ludzi, aby uzyskać do nich dostęp.
Najczęstszym typem ataku typu „watering hole” jest atak cyberprzestępców na stronę internetową, o której wiadomo, że jest popularna wśród członków określonej organizacji lub grupy demograficznej. Na przykład mogą skupić się na stronie internetowej dla absolwentów, stronie związanej z określoną branżą, a nawet na platformie mediów społecznościowych.
Gdy osoba atakująca zidentyfikuje witrynę, wprowadzi do niej złośliwy kod. Ten kod może mieć na celu przekierowanie odwiedzających do złośliwej witryny, dostarczanie złośliwego oprogramowania, kradzież danych osobowych lub przeprowadzanie dalszych ataków na odwiedzających. W niektórych przypadkach złośliwy kod może wykorzystać luki w systemie bezpieczeństwa strony internetowej i wykorzystać je w celu uzyskania dostępu do komputera odwiedzającego.
Należy pamiętać, że hakerzy mogą również wykorzystywać ataki typu „watering hole” na strony internetowe organizacji. W takim przypadku atakujący może umieścić złośliwy kod na stronie internetowej i wykorzystać go do uzyskania dostępu do sieci organizacji.
7 godnych uwagi przykładów ataków na wodopoje
W ciągu ostatnich kilku lat miało miejsce kilka znaczących ataków na wodopoje.
1. Atak na amerykańską Izbę Handlową
W 2011 roku Amerykańska Izba Handlowa była celem ataku na wodopoju. Hakerzy mogli uzyskać dostęp do wewnętrznych sieci organizacji, wykorzystując lukę w zabezpieczeniach swojej strony internetowej. Byli wtedy w stanie ukraść duże ilości poufnych informacji.
2. Chiński atak wojskowy
W 2013 roku chińskie wojsko było celem podobnego ataku. Hakerzy przeniknęli do ich sieci, wykorzystując lukę w popularnym serwisie społecznościowym używanym przez członków wojska. Atak doprowadził do kradzieży poufnych dokumentów związanych ze strategią i operacjami chińskiej armii.
3. Atak TV5Monde
W 2015 roku francuska sieć telewizyjna TV5Monde była celem ataku na wodopoju. Hakerzy mogą uzyskać dostęp do systemów stacji, wykorzystując lukę w aplikacji internetowej innej firmy. Następnie hakerzy przystąpili do usuwania danych, przejmowania kont i zakłócania programów TV5Monde przez ponad 17 godzin.
4. Atak Czerwonego Października
Był też atak Czerwonego Października. W 2012 roku rosyjski rząd przeprowadził masowy cyberatak na instytucje dyplomatyczne, rządowe i naukowe w ponad 30 krajach. Atak został przeprowadzony przez grupę hakerów znaną jako gang Czerwonego Października.
5. Atak botnetu Pony
Atak Pony Botnet miał miejsce w 2013 roku i dotyczył 1,58 miliona kont użytkowników w różnych witrynach, w tym na Facebooku, Twitterze i Yahoo. Złośliwe oprogramowanie zostało zaprojektowane w celu kradzieży informacji z kont użytkowników i wysyłania ich na zdalne serwery.
6. Atak Revetona
Atak na Reveton miał miejsce w 2014 roku. Hakerzy wykorzystali lukę w systemie Windows do zainstalowania oprogramowania ransomware Reveton na tysiącach komputerów na całym świecie. Szkodliwe oprogramowanie blokowało użytkownikom dostęp do ich systemów, dopóki nie został zapłacony okup.
7. Atak filtrujący VPN
W ataku VPNFilter z 2018 r FBI ostrzegło że szczep złośliwego oprogramowania o nazwie VPNFilter zainfekował ponad 500 000 routerów domowych i małych biur na całym świecie. Złośliwe oprogramowanie zbierało dane osobowe, przeprowadzało ataki DDoS, a nawet manipulowało danymi na zainfekowanych urządzeniach.
Jak chronić się przed atakami wodopoju?
Łatwo zrozumieć, dlaczego ataki na wodopoje są tak niebezpieczne i dlaczego należy się nimi martwić. Mogą spowodować znaczne szkody w systemach i sieciach, a także wykraść poufne dane, takie jak numery kart kredytowych, hasła i inne dane osobowe.
Na szczęście przed tego typu atakiem można się obronić. Oto kilka wskazówek:
- Monitoruj swoją sieć pod kątem podejrzanych działań lub zmian w wydajności.
- Regularnie aktualizuj swoje systemy łatanie luk w zabezpieczeniach.
- zatrudnić Zapora sieciowa aplikacji (WAF) w celu ochrony przed znanymi zagrożeniami.
- Edukuj siebie i swoich pracowników w zakresie najnowszych środków bezpieczeństwa.
- Regularnie przeglądaj zasady kontroli dostępu i upewnij się, że są przestrzegane.
- Używaj szyfrowania, gdy tylko jest to możliwe.
- Zainstaluj oprogramowanie antywirusowe i chroniące przed złośliwym oprogramowaniem.
- Zastosuj wielowarstwowe podejście do bezpieczeństwa.
Chociaż żaden system nigdy nie jest całkowicie bezpieczny, wdrożenie tych środków pomoże Ci zachować bezpieczeństwo i zmniejszyć ryzyko bycia celem.
Osuszanie ataków wodopoju
Ataki typu „watering hole” stanowią poważne zagrożenie dla firm, organizacji i indywidualnych użytkowników, dlatego bardzo ważne jest, aby chronić się przed tego typu atakami.
Upewnij się, że wszystkie systemy są regularnie łatane i aktualizowane najnowszymi aktualizacjami zabezpieczeń. Unikaj odwiedzania podejrzanych stron internetowych lub klikania nieznanych linków lub załączników. W miarę możliwości używaj silnych haseł i uwierzytelniania dwuskładnikowego. Rozważ także użycie zapór sieciowych aplikacji internetowych lub innych rozwiązań zabezpieczających w celu ochrony sieci przed złośliwym kodem i nieautoryzowanym dostępem.
