Video: Watering Hole Attacks - CompTIA Security+ SY0-501 - 1.2 (Oktober 2024)
Kampanjer med "vanning hull" er mer synlig i det siste, med forskere som identifiserer nye hendelser nesten hver dag. Angrepet som kompromitterte flere datamaskiner på Facebook, Twitter, Apple og Microsoft forrige måned ser ut til å ha påvirket flere selskaper også.
Facebook avslørte forrige måned at noen av utviklerne hadde blitt smittet av en Mac Trojan etter å ha besøkt et hacket mobilutviklerforum. På den tiden antydet selskapet at mange andre selskaper også hadde blitt rammet. Det ser ut til at angriperne smittet ansatte i "et bredt spekter av målfirmaer, på tvers av bransjer, " fant sikkerhetsbokføreren tidligere denne uken. Listen over berørte organisasjoner inkluderte fremtredende bilprodusenter, amerikanske myndigheter og "til og med en ledende godteriprodusent, " ifølge rapporten.
"Bredden av typer tjenester og enheter som er målrettet gjenspeiler ikke et målrettet angrep på en enkelt teknisk eller industriell sektor, " sa Joe Sullivan, Facebooks sikkerhetssjef, til The Security Ledger .
Hva er et vannhull?
Det ser ut til at angripere har kapret to andre mobile applikasjonsutviklingsnettsteder - en som er viet til Android-utviklere - i tillegg til iPhone-utviklerforumet som snublet opp Facebook-utviklere, rapporterte The Security Ledger . Andre nettsteder - ikke bare mobilapplikasjonsutvikler eller annen type programvareutvikling - ble også brukt i denne brede kampanjen, ifølge kilder som er kjent med etterforskningen.
I et vannhullangrep kompromitterer angriperne og manipulerer et nettsted for å servere skadelig programvare til besøkende. Angripernes motivasjoner i denne typen angrep skiller seg imidlertid fra de hackingsidene som en form for protest eller intensjon om å stjele informasjon eller penger. I stedet utnytter disse angriperne usikre nettsteder og applikasjoner for å målrette mot klassen av brukere som sannsynligvis vil besøke det aktuelle nettstedet. Når det gjelder nettstedet Council on Foreign Relations tilbake i desember, var angriperne trolig etter politikk-winks og andre som har å gjøre med utenrikspolitikk. Mobilutviklere vil sannsynligvis besøke et utviklerforum, og listen fortsetter.
Hacket eller vannet hullangrep?
Operasjoner av vannhull ser ut til å være angrep du jour , med nye rapporter om nettsteder som blir kompromittert hver dag. Websense Security Labs fant i går at israelske myndigheter-relaterte nettsteder ict.org.il og herzliyaconference.org hadde blitt hacket for å tjene til en Internet Explorer-utnyttelse. Angrepet lastet ned en Windows dropper-fil og åpnet en vedvarende bakdør for å kommunisere med kommandoen og kontroll-serveren, sa Websense. Laboratorier anslått at brukere ble smittet så tidlig som 23. januar.
Selskapet fant ledetråder som antydet at den samme "Elderwood" -gruppen bak angrepet Council on Foreign Relations sto også bak denne kampanjen.
The National Journal, en publikasjon for politiske innsidere i Washington, DC, ble funnet å tjene opp varianter av ZeroAccess-rootkit og falske antivirus denne uken, fant forskere fra Invincea. Tidspunktet for angrepet er litt overraskende, fordi magasinet hadde funnet malware på nettstedet sitt tilbake i februar og nettopp hadde sikret nettstedet og ryddet opp. Det siste angrepet brukte to kjente Java-sårbarheter og ledet besøkende til et nettsted som var vert for Fiesta / NeoSploit-utnyttelsessettet.
Hvorfor skjer disse angrepene?
Utviklere er "typisk myke mål", ettersom de har omfattende tilgang til interne ressurser og ofte har administratorrettigheter (eller høye rettigheter) på sine egne datamaskiner, ifølge Rich Mogull, analytiker og administrerende direktør i Securosis. Utviklere bruker mye tid på forskjellige utviklernettsteder og kan ta del i forumdiskusjoner. Mange av disse forumsidene har ikke den beste sikkerheten og er sårbare for kompromisser.
Uansett om angriperen setter i gang et målrettet angrep, eller fortsatt er avhengig av en utbredt kampanje for å netto så mange ofre som mulig, "kriminelle" følger medarbeideren hvis du vil ha tilgang til bedriften, "skrev Anup Ghosh, administrerende direktør og grunnlegger av Invincea.
Selv om angriperne kan ha kastet et bredt nett og ikke spesifikt målrettet mot en type brukere, valgte kriminelle disse nettstedene av en grunn. Regjeringsnettsteder, publikasjoner og utviklerfora er nettsteder med mye trafikk, og gir angriperne et bredt utvalg potensielle ofre.
Når angriperne har en liste over ofre, kan de identifisere ofrene med høy verdi og lage den neste angrepsrunden, som kan innebære mer sosial ingeniørarbeid eller instruere beboerens malware om å laste ned ytterligere skadelig programvare.
Fra brukerens synspunkt, fremhever dette bare viktigheten av å holde sikkerhetsverktøyene, programvaren og operativsystemet ditt oppdatert med de siste oppdateringene. Angripere bruker ikke bare null dager; mange av angrepene er avhengige av gamle, kjente, sårbarheter fordi folk bare ikke oppdaterer regelmessig. Hvis jobben din krever at du får tilgang til nettsteder som bruker Java, har du en dedikert nettleser for disse nettstedene, og deaktiver Java i den defekte nettleseren for å få tilgang til resten av Internett.
Vær forsiktig der ute.
