Watering Hole es una estrategia de ataque informático en la que un atacante adivina u observa qué sitios web utiliza a menudo una organización e infecta uno o más de ellos con malware . Eventualmente, algún miembro del grupo objetivo se infectará. [1] [2] [3] Los piratas informáticos que buscan información específica solo pueden atacar a usuarios que provengan de una dirección IP específica . Esto también hace que los hacks sean más difíciles de detectar e investigar. [4] El nombre se deriva de los depredadores en el mundo natural, que esperan una oportunidad para atacar a sus presas cerca de los abrevaderos. [5]
Técnicas de defensa
Los sitios web a menudo se infectan a través de vulnerabilidades de día cero en los navegadores u otro software. [4] Una defensa contra las vulnerabilidades conocidas es aplicar los últimos parches de software para eliminar la vulnerabilidad que permitió que el sitio se infectara. Esto es asistido por los usuarios para asegurarse de que todo su software esté ejecutando la última versión. Una defensa adicional es que las empresas controlen sus sitios web y redes y luego bloqueen el tráfico si detectan contenido malicioso. [6]
Ejemplos de
Campaña Agua Bendita 2019
En 2019, un ataque a un abrevadero, llamado Campaña de Agua Bendita, tuvo como objetivo grupos religiosos y de caridad asiáticos. [7] Se pidió a las víctimas que actualizaran Adobe Flash, lo que provocó el ataque. Fue creativo y distinto debido a su rápida evolución. [8] El motivo sigue sin estar claro. [8]
Ataque a nivel de país chino en 2018
Hubo un ataque a nivel de país en China desde finales de 2017 hasta marzo de 2018, por parte del grupo "LuckyMouse", también conocido como "Iron Tiger", "EmissaryPanda", " APT 27" y "Threat Group-3390". [9]
Ataque de la Organización de Aviación Civil Internacional con sede en Montreal de 2017
Hubo un ataque a nivel de organización en Montreal entre 2016 y 2017 por parte de una entidad desconocida que provocó una violación de datos. [10]
Ataque CCleaner 2017
De agosto a septiembre de 2017, el binario de instalación de CCleaner distribuido por los servidores de descarga del proveedor incluía malware. CCleaner es una herramienta popular utilizada para limpiar archivos potencialmente no deseados de computadoras con Windows, ampliamente utilizada por usuarios preocupados por la seguridad. Los binarios del instalador distribuido se firmaron con el certificado del desarrollador, por lo que es probable que un atacante comprometiera el entorno de desarrollo o compilación y lo usara para insertar malware. [11] [12]
2017 ataque NotPetya
En junio de 2017, el malware NotPetya (también conocido como ExPetr), que se cree que se originó en Ucrania, comprometió un sitio web del gobierno ucraniano. El vector de ataque provino de los usuarios del sitio que lo descargaron. El malware borra el contenido de los discos duros de las víctimas. [13]
2016 bancos polacos
A finales de 2016, un banco polaco descubrió malware en los ordenadores de la institución. Se cree que la fuente de este malware fue el servidor web de la Autoridad de Supervisión Financiera de Polonia . [14] No ha habido informes sobre pérdidas financieras como resultado de este hack. [14]
2013 ataque a la cadena de suministro del software Havex ICS
Havex fue descubierto en 2013 y es uno de los cinco programas maliciosos conocidos del Sistema de Control Industrial (ICS) desarrollado en la última década. Energetic Bear comenzó a utilizar Havex en una campaña de espionaje generalizada dirigida a los sectores de energía, aviación, farmacéutica, defensa y petroquímica. La campaña se centró principalmente en víctimas de Estados Unidos y Europa. [15] Havex explotó la cadena de suministro y los ataques de abrevadero en el software del proveedor de ICS, además de las campañas de spear phishing para obtener acceso a los sistemas de las víctimas. [dieciséis]
2013 Departamento de Trabajo de EE. UU.
A principios de 2013, los atacantes utilizaron el sitio web del Departamento de Trabajo de los Estados Unidos para recopilar información sobre la información de los usuarios. Este ataque se dirigió específicamente a los usuarios que visitaban páginas con contenido relacionado con la energía nuclear. [17]
2012 Consejo de Relaciones Exteriores de EE. UU.
En diciembre de 2012, se descubrió que el sitio web del Council on Foreign Relations estaba infectado con malware a través de una vulnerabilidad de día cero en Internet Explorer de Microsoft . En este ataque, el malware solo se implementó en usuarios que usaban Internet Explorer configurado en inglés, chino, japonés, coreano y ruso. [18]
Referencias
- ^ Gragido, Will (20 de julio de 2012). "Leones en el abrevadero - El asunto" VOHO "" . El blog de RSA . EMC Corporation .
- ^ Haaster, Jelle Van; Gevers, Rickey; Sprengers, Martijn (13 de junio de 2016). Guerrilla cibernética . Syngress. pag. 57. ISBN 9780128052846.
- ^ Miller, Joseph B. (2014). Tecnologías de Internet y servicios de información, 2ª edición . ABC-CLIO. pag. 123. ISBN 9781610698863.
- ^ a b Symantec. Informe sobre amenazas a la seguridad en Internet, abril de 2016, pág. 38 https://www.symantec.com/content/dam/symantec/docs/reports/istr-21-2016-en.pdf
- ^ Despierta, Margaret. "¿Qué es el ataque del abrevadero?" . SearchSecurity . Consultado el 3 de abril de 2017 .
- ^ Grimes, Roger A. "Cuidado con los ataques de pozos de agua: la última arma sigilosa de los piratas informáticos" . InfoWorld . Consultado el 3 de abril de 2017 .
- ^ "Kaspersky descubre un ataque de pozo de agua creativo descubierto en la naturaleza" . Kaspersky .
- ^ a b "Agua bendita: ataque de aguanieve dirigido en curso en Asia" . securelist.com . Consultado el 5 de agosto de 2020 .
- ^ https://thehackernews.com/2018/06/chinese-watering-hole-attack.html
- ^ https://www.cbc.ca/news/canada/montreal/icao-patient-zero-cyberattack-whistleblower-1.5223883
- ^ "CCleanup: una gran cantidad de máquinas en riesgo" . blogs @ Cisco: blogs de Cisco . Consultado el 19 de septiembre de 2017 .
- ^ "Notificación de seguridad para CCleaner v5.33.6162 y CCleaner Cloud v1.07.3191 para usuarios de Windows de 32 bits" . blogs @ Piriform - Blogs piriformes . Consultado el 19 de septiembre de 2017 .
- ^ https://threatpost.com/researchers-find-blackenergy-apt-links-in-expetr-code/126662/
- ^ a b "Los atacantes apuntan a docenas de bancos globales con nuevo malware" . Respuesta de seguridad de Symantec . Consultado el 2 de abril de 2017 .
- ^ "Malware enfocado en ICS" . ics-cert.us-cert.gov . Consultado el 9 de diciembre de 2020 .
- ^ "Divulgación completa de troyanos Havex" . Netresec . Consultado el 9 de diciembre de 2020 .
- ^ "Se confirmó que el ataque al pozo de riego del Departamento de trabajo es de día cero con posibles capacidades de reconocimiento avanzadas" . blogs @ Cisco: blogs de Cisco . Consultado el 3 de abril de 2017 .
- ^ "Sitio web del Consejo de Relaciones Exteriores golpeado por el ataque de Watering Hole, IE Zero-Day Exploit" . Threatpost . 2012-12-29 . Consultado el 2 de abril de 2017 .