Атака на водопой

Watering Hole — это стратегия компьютерной атаки , при которой злоумышленник угадывает или наблюдает, какие веб-сайты организация часто использует, и заражает один или несколько из них вредоносным ПО . В конце концов, какой-то член целевой группы заразится. ^{[ 1 ]}^{[ 2 ]}^{[ 3 ]} Хакеры, ищущие конкретную информацию, могут атаковать только пользователей, пришедших с определенного IP-адреса . Это также затрудняет обнаружение и исследование хакерских атак. ^{[ 4 ]} Название происходит от хищников в мире природы, которые ждут возможности напасть на свою добычу возле водопоя . ^{[ 5 ]}

Одна из наиболее серьезных опасностей атак на водопои заключается в том, что они выполняются через законные веб-сайты, которые невозможно легко внести в черный список. Кроме того, сценарии и вредоносное ПО, используемые в этих атаках, часто создаются тщательно, поэтому антивирусному программному обеспечению сложно идентифицировать их как угрозы. ^{[ 6 ]}

Техники защиты

Веб-сайты часто заражаются через уязвимости нулевого дня в браузерах или другом программном обеспечении. ^{[ 4 ]} Защита от известных уязвимостей заключается в применении последних патчей программного обеспечения для устранения уязвимости, позволившей заразить сайт. Пользователи помогают убедиться, что все их программное обеспечение использует последнюю версию. Дополнительной защитой для компаний является мониторинг своих веб-сайтов и сетей, а затем блокирование трафика в случае обнаружения вредоносного контента. ^{[ 7 ]} Другие методы защиты включают использование сложных паролей и кодов доступа для доступа к веб-сайтам, а также биометрической информации для защиты данных от атак. Использование веб-инъекций, таких как брандмауэры , или загрузка антивирусного программного обеспечения на устройства также могут защитить от атак. ^{[ 8 ]} Кроме того, веб-сайты могут усилить защиту, отключив или удалив уязвимое программное обеспечение, такое как Flash и Adobe Reader, которые обычно подвергаются кибератакам.

Примеры

2011

Операция «Торпедо ». Правительство США провело атаку на 3 веб-сайта Tor (сети) . ФБР перекрыло доступ к веб-сайтам и продолжало управлять ими в течение 19 дней. За это время веб-сайты были модифицированы для обслуживания NIT, который пытался разоблачить посетителей, раскрывая их IP-адрес, операционную систему и веб-браузер. Код NIT был раскрыт в рамках дела США против Коттома и др . Исследователи из Университета Небраски в Кирни и Университета штата Дакота проанализировали код NIT и обнаружили, что это приложение Adobe Flash , которое отправляет реальный IP-адрес пользователя обратно на сервер, контролируемый ФБР, вместо того, чтобы маршрутизировать его трафик через сеть Tor и защищать его. их идентичность. Он использовал технику «движка деклоакинга» Metasploit и затрагивал только пользователей, которые не обновили свой веб-браузер Tor . ^{[ 9 ]}^{[ 10 ]}^{[ 11 ]}^{[ 12 ]}

2012 Совет США по международным отношениям

В декабре 2012 года веб-сайт Совета по международным отношениям был обнаружен вредоносным ПО из-за уязвимости нулевого дня в Microsoft Internet Explorer . В ходе этой атаки вредоносное ПО было развернуто только среди пользователей, использующих Internet Explorer с настройками английского, китайского, японского, корейского и русского языков. ^{[ 13 ]}

Атака на цепочку поставок программного обеспечения Havex ICS, 2013 г.

Havex был обнаружен в 2013 году и является одним из пяти известных вредоносных программ, разработанных специально для промышленных систем управления (ICS), разработанных за последнее десятилетие. Energetic Bear начал использовать Havex в широкомасштабной шпионской кампании, направленной против энергетического, авиационного, фармацевтического, оборонного и нефтехимического секторов. Кампания была нацелена на жертв в первую очередь в США и Европе. ^{[ 14 ]} Компания Havex использовала атаки на цепочку поставок и «водопотоки» на программное обеспечение поставщиков АСУ ТП, а также проводила целевые фишинговые кампании для получения доступа к системам жертв. ^{[ 15 ]}

2013 Министерство труда США

В середине-начале 2013 года злоумышленники использовали сайт Министерства труда США для сбора информации о пользователях, посещавших сайт. Эта атака была специально нацелена на пользователей, посещающих страницы с контентом, связанным с ядерной тематикой. ^{[ 16 ]}

2015

Операция «Соска» — правительство США захватило веб-сайт Tor (сеть) и установило вредоносное ПО « Техника сетевого расследования » (NIT) для взлома веб-браузеров пользователей, получающих доступ к сайту, тем самым раскрывая их личности. В результате операции были арестованы 956 пользователей сайта и приговорены к тюремному заключению пять человек.

2016 Польские банки

В конце 2016 года польский банк обнаружил на компьютерах учреждения вредоносное ПО. Предполагается, что источником этого вредоносного ПО стал веб-сервер Польской финансовой инспекции . ^{[ 17 ]} Сообщений о каких-либо финансовых потерях в результате этого взлома не поступало. ^{[ 17 ]}

Атака Международной организации гражданской авиации в Монреале, 2017 г.

В 2016–2017 годах в Монреале произошла атака неизвестной организации на уровне организации, вызвавшая утечку данных. ^{[ 18 ]}

Атака CCleaner, 2017 г.

С августа по сентябрь 2017 года установочный двоичный файл CCleaner, распространяемый серверами загрузки поставщика, содержал вредоносное ПО. CCleaner — популярный инструмент для очистки потенциально нежелательных файлов с компьютеров Windows, широко используемый пользователями, заботящимися о безопасности. Двоичные файлы распределенного установщика были подписаны сертификатом разработчика, что делало вероятным, что злоумышленник скомпрометировал среду разработки или сборки и использовал ее для внедрения вредоносного ПО. ^{[ 19 ]}^{[ 20 ]}

Атака NotPetya, 2017 г.

В июне 2017 года вредоносная программа NotPetya (также известная как ExPetr), предположительно возникшая в Украине, взломала веб-сайт правительства Украины. Вектор атаки был от пользователей сайта, скачавших его. Вредоносная программа стирает содержимое жестких дисков жертв. ^{[ 21 ]}

Атака на уровне страны в Китае в 2018 г.

С конца 2017 года по март 2018 года в Китае произошла атака на общенациональный уровень, организованная группой «LuckyMouse», также известной как «Iron Tiger», «EmissaryPanda», « APT 27» и «Threat Group-3390». ^{[ 22 ]}

Акция «Святая вода» 2019 г.

В 2019 году атака на водопой под названием «Кампания Святой воды» была нацелена на азиатские религиозные и благотворительные группы. ^{[ 23 ]} Жертвам было предложено обновить Adobe Flash , что и спровоцировало атаку. Он был креативным и особенным благодаря своей быстрой эволюции. ^{[ 24 ]} Мотив остается неясным. ^{[ 24 ]} Эксперты предоставили подробный технический анализ вместе с длинным списком индикаторов компрометации (IoC), задействованных в кампании, но ни один из них не удалось связать с продвинутой постоянной угрозой. ^{[ 25 ]}

Споры о массовой слежке / вторжении в частную жизнь в США

В США совместный гражданский иск, поданный Американским союзом гражданских свобод (ACLU), Клиникой гражданских свобод и прозрачности и Privacy International против различных ветвей правительства США, утверждал, что правительство США использовало атаки на водопои в ходе нового массового вторжения. конфиденциальности простых граждан. Кроме того, характер гражданского иска заключался в непредоставлении соответствующих документов в рамках запроса FOIA различным агентствам. Список ACLU и Privacy International и др. против агентств США доступен на сайте Courtlistener.com.

См. также

Вредоносная реклама

Ссылки

^ Граджидо, Уилл (20 июля 2012 г.). «Львы на водопое - Дело «ВОХО»» . Блог РСА . Корпорация ЕМС .
^ Хастер, Джелле Ван; Геверс, Рики; Спренгерс, Мартейн (13 июня 2016 г.). Кибер-партизан . Сингресс. п. 57. ИСБН 9780128052846 .
^ Миллер, Джозеф Б. (2014). Интернет-технологии и информационные услуги, 2-е издание . АВС-КЛИО. п. 123. ИСБН 9781610698863 .
^ Jump up to: ^а ^б Симантек. Отчет об угрозах интернет-безопасности, апрель 2016 г., стр. 38 [1]
^ Роуз, Маргарет. «Что такое атака на водопой?» . Поисковая безопасность . Проверено 3 апреля 2017 г.
^ АПОСТОЛ, Михай; ПАЛИНЮК, Богдан; МОРАР, Рареш; ВИДУ, Флорин (18 мая 2022 г.). «Вредоносная стратегия: атаки на водопои» . Румынский журнал кибербезопасности . 4 (1): 29–37. дои : 10.54851/v4i1y202204 . ISSN 2668-6430 .
^ Граймс, Роджер А. «Остерегайтесь атак на водоемы — новейшее скрытное оружие хакеров» . Инфомир . Проверено 3 апреля 2017 г.
^ Исмаил, Хайрун Ашикин; Сингх, Манмит Махинджит; Мустафа, Норлия; Кейхосрокиани, Пантеа; Зулкефли, Закия (01 января 2017 г.). «Стратегии безопасности для предотвращения киберпреступных атак» . Procedia Информатика . 4-я Международная конференция по информационным системам 2017, ISICO 2017, 6-8 ноября 2017 г., Бали, Индонезия. 124 : 656–663. дои : 10.1016/j.procs.2017.12.202 . ISSN 1877-0509 .
^ «Федералы взломали огромный сайт детской порнографии, скрытый в Tor, используя сомнительное вредоносное ПО» . Арс Техника. 16 июля 2015 г. Проверено 19 января 2020 г.
^ Кевин Поулсен (Wired.com) (30 июня 2015 г.). «ФБР арестовало Tor 227 1» . Documentcloud.org . Проверено 19 января 2020 г.
^ Эшли Подрадски (17 января 2017 г.). «Scholarly Commons — Ежегодная конференция ADFSL по цифровой криминалистике, безопасности и праву: обратный инжиниринг нит, который разоблачает пользователей Tor» . Ежегодная конференция Adfsl по цифровой криминалистике, безопасности и праву . Commons.erau.edu . Проверено 19 января 2020 г.
^ Поулсен, Кевин. «ФБР использовало любимый хакерский инструмент в Интернете, чтобы разоблачить пользователей Tor» . ПРОВОДНОЙ . Проверено 19 января 2020 г.
^ «Веб-сайт Совета по международным отношениям подвергся атаке на водопой, эксплойт нулевого дня в IE» . Угрозапост . 29 декабря 2012 г. Проверено 2 апреля 2017 г.
^ «Вредоносное ПО, ориентированное на ICS» . ics-cert.us-cert.gov . Проверено 9 декабря 2020 г.
^ «Полное раскрытие троянов Havex» . Нетресек . 27 октября 2014 года . Проверено 9 декабря 2020 г.
^ «Атака на водопой Министерства труда подтверждена как нулевой день с возможными расширенными возможностями разведки» . blogs@Cisco — блоги Cisco . 4 мая 2013 года . Проверено 3 апреля 2017 г.
^ Jump up to: ^а ^б «Злоумышленники атаковали десятки банков по всему миру с помощью нового вредоносного ПО» . Ответ безопасности Symantec . Проверено 2 апреля 2017 г.
^ « Нулевым пациентом» в кибератаке на авиационное агентство ООН был сын высокопоставленного чиновника, как следует из электронного письма | CBC News» . 20 февраля 2023 г. Архивировано из оригинала 20 февраля 2023 г. Проверено 26 декабря 2023 г.
^ «CCleanup: огромное количество компьютеров под угрозой» . blogs@Cisco — блоги Cisco . Проверено 19 сентября 2017 г.
^ «Уведомление о безопасности для CCleaner v5.33.6162 и CCleaner Cloud v1.07.3191 для пользователей 32-разрядной версии Windows» . blogs@Piriform — Блоги Piriform . Проверено 19 сентября 2017 г.
^ «Исследователи обнаружили ссылки BlackEnergy APT в коде ExPetr» . 3 июля 2017 г.
^ «Китайские хакеры провели атаку на водопой на уровне страны» .
^ «Касперский обнаруживает креативную атаку на водопой, обнаруженную в дикой природе» . Касперский . 26 мая 2021 г.
^ Jump up to: ^а ^б «Святая вода: продолжающаяся целенаправленная атака по сбору воды в Азии» . Securelist.com . 31 марта 2020 г. Проверено 5 августа 2020 г.
^ «Святая вода: продолжающаяся целенаправленная атака по сбору воды в Азии» . Securelist.com . 31 марта 2020 г. Проверено 3 февраля 2022 г.

[Gradigo2012-1] Граджидо, Уилл (20 июля 2012 г.). «Львы на водопое - Дело «ВОХО»» . Блог РСА . Корпорация ЕМС .

[HaasterGeversSprengers2016-2] Хастер, Джелле Ван; Геверс, Рики; Спренгерс, Мартейн (13 июня 2016 г.). Кибер-партизан . Сингресс. п. 57. ИСБН 9780128052846 .

[Miller2014-3] Миллер, Джозеф Б. (2014). Интернет-технологии и информационные услуги, 2-е издание . АВС-КЛИО. п. 123. ИСБН 9781610698863 .

[:1-4] Jump up to: ^а ^б Симантек. Отчет об угрозах интернет-безопасности, апрель 2016 г., стр. 38 [1]

[5] Роуз, Маргарет. «Что такое атака на водопой?» . Поисковая безопасность . Проверено 3 апреля 2017 г.

[6] АПОСТОЛ, Михай; ПАЛИНЮК, Богдан; МОРАР, Рареш; ВИДУ, Флорин (18 мая 2022 г.). «Вредоносная стратегия: атаки на водопои» . Румынский журнал кибербезопасности . 4 (1): 29–37. дои : 10.54851/v4i1y202204 . ISSN 2668-6430 .

[Grimes2017-7] Граймс, Роджер А. «Остерегайтесь атак на водоемы — новейшее скрытное оружие хакеров» . Инфомир . Проверено 3 апреля 2017 г.

[8] Исмаил, Хайрун Ашикин; Сингх, Манмит Махинджит; Мустафа, Норлия; Кейхосрокиани, Пантеа; Зулкефли, Закия (01 января 2017 г.). «Стратегии безопасности для предотвращения киберпреступных атак» . Procedia Информатика . 4-я Международная конференция по информационным системам 2017, ISICO 2017, 6-8 ноября 2017 г., Бали, Индонезия. 124 : 656–663. дои : 10.1016/j.procs.2017.12.202 . ISSN 1877-0509 .

[9] «Федералы взломали огромный сайт детской порнографии, скрытый в Tor, используя сомнительное вредоносное ПО» . Арс Техника. 16 июля 2015 г. Проверено 19 января 2020 г.

[10] Кевин Поулсен (Wired.com) (30 июня 2015 г.). «ФБР арестовало Tor 227 1» . Documentcloud.org . Проверено 19 января 2020 г.

[11] Эшли Подрадски (17 января 2017 г.). «Scholarly Commons — Ежегодная конференция ADFSL по цифровой криминалистике, безопасности и праву: обратный инжиниринг нит, который разоблачает пользователей Tor» . Ежегодная конференция Adfsl по цифровой криминалистике, безопасности и праву . Commons.erau.edu . Проверено 19 января 2020 г.

[12] Поулсен, Кевин. «ФБР использовало любимый хакерский инструмент в Интернете, чтобы разоблачить пользователей Tor» . ПРОВОДНОЙ . Проверено 19 января 2020 г.

[Mimoso2012-13] «Веб-сайт Совета по международным отношениям подвергся атаке на водопой, эксплойт нулевого дня в IE» . Угрозапост . 29 декабря 2012 г. Проверено 2 апреля 2017 г.

[14] «Вредоносное ПО, ориентированное на ICS» . ics-cert.us-cert.gov . Проверено 9 декабря 2020 г.

[15] «Полное раскрытие троянов Havex» . Нетресек . 27 октября 2014 года . Проверено 9 декабря 2020 г.

[Cisco2017-16] «Атака на водопой Министерства труда подтверждена как нулевой день с возможными расширенными возможностями разведки» . blogs@Cisco — блоги Cisco . 4 мая 2013 года . Проверено 3 апреля 2017 г.

[:0-17] Jump up to: ^а ^б «Злоумышленники атаковали десятки банков по всему миру с помощью нового вредоносного ПО» . Ответ безопасности Symantec . Проверено 2 апреля 2017 г.

[18] « Нулевым пациентом» в кибератаке на авиационное агентство ООН был сын высокопоставленного чиновника, как следует из электронного письма | CBC News» . 20 февраля 2023 г. Архивировано из оригинала 20 февраля 2023 г. Проверено 26 декабря 2023 г.

[CiscoCcleaner2017-19] «CCleanup: огромное количество компьютеров под угрозой» . blogs@Cisco — блоги Cisco . Проверено 19 сентября 2017 г.

[Piriform2017-20] «Уведомление о безопасности для CCleaner v5.33.6162 и CCleaner Cloud v1.07.3191 для пользователей 32-разрядной версии Windows» . blogs@Piriform — Блоги Piriform . Проверено 19 сентября 2017 г.

[21] «Исследователи обнаружили ссылки BlackEnergy APT в коде ExPetr» . 3 июля 2017 г.

[22] «Китайские хакеры провели атаку на водопой на уровне страны» .

[23] «Касперский обнаруживает креативную атаку на водопой, обнаруженную в дикой природе» . Касперский . 26 мая 2021 г.

[:2-24] Jump up to: ^а ^б «Святая вода: продолжающаяся целенаправленная атака по сбору воды в Азии» . Securelist.com . 31 марта 2020 г. Проверено 5 августа 2020 г.

[25] «Святая вода: продолжающаяся целенаправленная атака по сбору воды в Азии» . Securelist.com . 31 марта 2020 г. Проверено 3 февраля 2022 г.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]

[ 21 ]

[ 22 ]

[ 23 ]

[ 24 ]

[ 25 ]