El abrevadero es una estrategia de ataque informático en la que un atacante adivina u observa qué sitios web utiliza con frecuencia una organización e infecta uno o más de ellos con malware . Eventualmente, algún miembro del grupo objetivo se infectará. [1] [2] [3] Los hacks que buscan información específica solo pueden atacar a los usuarios que provienen de una dirección IP específica . Esto también hace que los hacks sean más difíciles de detectar e investigar. [4] El nombre se deriva de los depredadores en el mundo natural, que esperan la oportunidad de atacar a sus presas cerca de los abrevaderos. [5]
Los sitios web a menudo se infectan a través de vulnerabilidades de día cero en los navegadores u otro software. [4] Una defensa contra las vulnerabilidades conocidas es aplicar los parches de software más recientes para eliminar la vulnerabilidad que permitió que el sitio se infectara. Esto es asistido por los usuarios para garantizar que todo su software esté ejecutando la última versión. Una defensa adicional es que las empresas controlen sus sitios web y redes y luego bloqueen el tráfico si se detecta contenido malicioso. [6]
En diciembre de 2012, se descubrió que el sitio web del Consejo de Relaciones Exteriores estaba infectado con malware a través de una vulnerabilidad de día cero en Internet Explorer de Microsoft . En este ataque, el malware solo se implementó en usuarios que usaban Internet Explorer configurado en inglés, chino, japonés, coreano y ruso. [7]
Havex se descubrió en 2013 y es uno de los cinco programas maliciosos adaptados al Sistema de Control Industrial (ICS) conocidos desarrollados en la última década. Energetic Bear comenzó a utilizar Havex en una campaña de espionaje generalizada dirigida a los sectores de energía, aviación, farmacéutico, defensa y petroquímico. La campaña se dirigió a las víctimas principalmente en los Estados Unidos y Europa. [8] Havex explotó la cadena de suministro y los ataques de abrevadero en el software del proveedor de ICS, además de las campañas de phishing para obtener acceso a los sistemas de las víctimas. [9]
A mediados de 2013, los atacantes utilizaron el sitio web del Departamento de Trabajo de los Estados Unidos para recopilar información sobre la información de los usuarios. Este ataque se dirigió específicamente a los usuarios que visitaban páginas con contenido relacionado con la energía nuclear. [10]
A fines de 2016, un banco polaco descubrió malware en computadoras pertenecientes a la institución. Se cree que la fuente de este malware fue el servidor web de la Autoridad de Supervisión Financiera de Polonia . [11] No ha habido informes sobre pérdidas financieras como resultado de este ataque. [11]