Video: What is a Watering Hole? (November 2024)
Campagnes met waterputten zijn de laatste tijd beter zichtbaar, waarbij onderzoekers bijna elke dag nieuwe incidenten identificeren. De aanval die vorige maand meerdere computers op Facebook, Twitter, Apple en Microsoft in gevaar bracht, lijkt ook meer bedrijven te hebben getroffen.
Facebook maakte vorige maand bekend dat sommige van zijn ontwikkelaars besmet waren met een Mac Trojan na een bezoek aan een gehackt mobiel ontwikkelaarsforum. Destijds gaf het bedrijf aan dat veel andere bedrijven ook waren getroffen. Het lijkt erop dat de aanvallers werknemers besmetten in 'een breed scala van doelbedrijven in verschillende sectoren', zo vond The Security Ledger eerder deze week. De lijst met getroffen organisaties omvatte prominente autofabrikanten, Amerikaanse overheidsinstanties en 'zelfs een toonaangevende snoepmaker', aldus het rapport.
"De breedte van soorten services en entiteiten die worden getarget, weerspiegelt geen gerichte aanval op een enkele tech- of industriesector, " vertelde Joe Sullivan, hoofd beveiliging van Facebook, aan The Security Ledger .
Wat is een waterpoel?
Aanvallers schijnen twee andere sites voor de ontwikkeling van mobiele applicaties te hebben gekaapt - een gewijd aan Android-ontwikkelaars - naast het iPhone-ontwikkelaarsforum dat Facebook-ontwikkelaars heeft laten struikelen, meldde The Security Ledger . Andere websites - niet alleen ontwikkelaars van mobiele applicaties of andere soorten softwareontwikkeling - werden ook gebruikt in deze brede campagne, volgens bronnen die bekend zijn met het onderzoek.
In een aanval met waterputten sluiten aanvallers een website af en manipuleren deze om malware aan sitebezoekers te bieden. De motivaties van de aanvallers in dit soort aanvallen verschillen echter van die hacksites als een vorm van protest of intentie om informatie of geld te stelen. In plaats daarvan maken deze aanvallers gebruik van onveilige sites en applicaties om zich te richten op de groep gebruikers die die specifieke site waarschijnlijk zullen bezoeken. In het geval van de site van de Council on Foreign Relations in december zaten de aanvallers waarschijnlijk achter politiek beleid en anderen die zich bezighielden met buitenlands beleid. Mobiele ontwikkelaars zullen waarschijnlijk een ontwikkelaarsforum bezoeken en de lijst gaat maar door.
Hacked of Watering Hole Attack?
Watering-operaties lijken aanvallen du jour te zijn , met nieuwe rapporten van sites die elke dag worden gecompromitteerd. Websense Security Labs ontdekte gisteren dat de Israëlische aan de overheid gerelateerde websites ict.org.il en herzliyaconference.org waren gehackt om een exploit van Internet Explorer te bedienen. De aanval downloadde een Windows-dropperbestand en opende een blijvende achterdeur om te communiceren met de command-and-control-server, zei Websense. Labs schatten dat gebruikers al op 23 januari geïnfecteerd waren.
Het bedrijf vond aanwijzingen dat dezelfde "Elderwood" -groep achter de aanval van de Council on Foreign Relations ook achter deze campagne zat.
Het National Journal, een publicatie voor politieke insiders in Washington, DC, bleek deze week varianten van de ZeroAccess rootkit en nep-antivirus te serveren, vonden Invincea-onderzoekers. De timing van de aanval is een beetje verrassend, omdat het magazine al in februari malware op zijn site had gevonden en de site net had beveiligd en opgeschoond. De nieuwste aanval gebruikte twee bekende Java-kwetsbaarheden en leidde bezoekers naar een site die de Fiesta / NeoSploit-exploitkit host.
Waarom gebeuren deze aanvallen?
Ontwikkelaars zijn 'doorgaans zachte doelen', omdat ze uitgebreide toegang hebben tot interne bronnen en vaak beheerdersrechten (of hoge rechten) hebben op hun eigen computers, volgens Rich Mogull, analist en CEO van Securosis. Ontwikkelaars brengen veel tijd door op verschillende ontwikkelaarssites en kunnen deelnemen aan forumdiscussies. Veel van deze forumsites beschikken niet over de beste beveiliging en zijn kwetsbaar voor compromissen.
Ongeacht of de aanvaller een gerichte aanval uitvoert of nog steeds vertrouwt op een wijdverspreide campagne om zoveel mogelijk slachtoffers te vangen, gaan criminelen "achter de werknemer aan als u toegang wilt tot de onderneming", schreef Anup Ghosh, CEO en oprichter van Invincea.
Hoewel de aanvallers misschien een breed net hebben uitgezonden en zich niet specifiek op één type gebruiker hebben gericht, hebben de criminelen die sites om een reden gekozen. Overheidssites, publicaties en ontwikkelaarsforums zijn sites met veel verkeer, waardoor de aanvallers een brede pool van potentiële slachtoffers hebben.
Zodra de aanvallers een lijst met slachtoffers hebben, kunnen ze de waardevolle slachtoffers identificeren en de volgende ronde aanvallen uitvoeren, waarbij mogelijk meer sociale engineering nodig is of de ingezeten malware wordt geïnstrueerd om extra malware te downloaden.
Vanuit het standpunt van een gebruiker benadrukt dit gewoon het belang van het up-to-date houden van uw beveiligingshulpmiddelen, software en besturingssysteem met de nieuwste patches. Aanvallers gebruiken niet alleen nuldagen; veel van de aanvallen zijn gebaseerd op oude, bekende kwetsbaarheden, omdat mensen gewoon niet regelmatig updaten. Als u voor uw taak toegang moet krijgen tot sites die Java gebruiken, heeft u een speciale browser voor die sites en schakelt u Java in de standaardbrowser uit voor toegang tot de rest van het web.
Wees voorzichtig daarbuiten.
