Οι ερευνητές της Kaspersky ανακάλυψαν μια watering-hole εκστρατεία με στόχο χρήστες στην Ασία από τον Μάιο του 2019. Περισσότεροι από 10 ιστοτόποι που σχετίζονται με θρησκεία, εθελοντικά προγράμματα, φιλανθρωπία και πολλούς άλλους τομείς υπονομεύθηκαν για να προκαλέσουν επιλεκτικά μία drive-by download επίθεση, η οποία είχε ως αποτέλεσμα την εγκατάσταση backdoor στις συσκευές των στόχων. Οι επιτιθέμενοι χρησιμοποίησαν ένα δημιουργικό σύνολο εργαλείων, το οποίο περιελάμβανε το Git Hub και τη χρήση ανοιχτού κώδικα.
Μια επίθεση τύπου «watering-hole» είναι μια στοχευμένη στρατηγική επίθεσης στην οποία οι εγκληματίες του κυβερνοχώρου παραβιάζουν ιστοσελίδες που θεωρούνται γόνιμο έδαφος για πιθανά θύματα και περιμένουν το «φυτεμένο» κακόβουλο λογισμικό να καταλήξει στους υπολογιστές τους. Προκειμένου να εκτεθεί στο κακόβουλο λογισμικό, ο χρήστης πρέπει απλώς να επισκεφθεί έναν παραβιασμένο ιστότοπο, ο οποίος καθιστά αυτό το είδος επίθεσης εύκολο να εξαπλωθεί και επομένως πιο επικίνδυνο. Στην εκστρατεία που ονομάστηκε από τους ερευνητές της Kaspersky «Holy Water», έχουν δημιουργηθεί «water-holes» σε ιστοσελίδες που ανήκουν σε προσωπικότητες, δημόσιους φορείς, φιλανθρωπικούς οργανισμούς και άλλους πολλούς.
Αυτή η επίθεση πολλαπλών σταδίων με ένα απλό αλλά δημιουργικό σύνολο εργαλείων ξεχωρίζει για τη γρήγορη εξέλιξή της από την ημερομηνία έναρξής της, καθώς και από το ευρύ φάσμα εργαλείων που χρησιμοποιήθηκαν.
Κατά την επίσκεψη σε μια από τις «water-holing» ιστοσελίδες, ένας προηγουμένως παραβιασμένος πόρος θα φορτώσει ένα συγκεχυμένο κακόβουλο JavaScript, το οποίο συγκεντρώνει πληροφορίες σχετικά με τον επισκέπτη. Έπειτα, ένας εξωτερικός server διαπιστώνει εάν ο επισκέπτης είναι στόχος. Εάν ο επισκέπτης επικυρωθεί ως στόχος, το δεύτερο στάδιο JavaScript θα φορτώσει ένα plugin, το οποίο με τη σειρά του θα ενεργοποιήσει μια download επίθεση, εμφανίζοντας ένα ψεύτικο αναδυόμενο με ενημερώσεις Adobe Flash.
Στη συνέχεια, ο επισκέπτης αναμένεται να δελεαστεί από την παγίδα ενημέρωσης και να πραγματοποιήσει λήψη ενός πακέτου κακόβουλου προγράμματος εγκατάστασης το οποίο θα δημιουργήσει ένα backdoor με το όνομα Godlike12, παρέχοντας στον απειλητικό φορέα την πλήρη απομακρυσμένη πρόσβαση στη «μολυσμένη» συσκευή, επιτρέποντάς του να τροποποιήσει αρχεία, να συλλέξει εμπιστευτικά δεδομένα από τον υπολογιστή, να καταγράψει δραστηριότητα στον υπολογιστή και πολλά άλλα. Ένα άλλο backdoor, μια τροποποιημένη έκδοση του backdoor Python ανοιχτού κώδικα που ονομάζεται Stitch, χρησιμοποιήθηκε επίσης στην επίθεση. Παρείχε κλασικές λειτουργίες backdoor δημιουργώντας μια άμεση σύνδεση υποδοχής για την ανταλλαγή κρυπτογραφημένων δεδομένων AES με τον απομακρυσμένο server.
Το ψεύτικο αναδυόμενο παράθυρο Adobe Flash συνδέθηκε με εκτελέσιμο αρχείο που φιλοξενήθηκε στο github.com με το πρόσχημα ενός αρχείου ενημέρωσης Flash. Το GitHub το απενεργοποίησε στις 14 Φεβρουαρίου 2020, κατόπιν σχετικής αναφοράς της Kaspersky, σπάζοντας έτσι την αλυσίδα μόλυνσης της εκστρατείας. Ωστόσο, ήταν συνδεδεμένο για περισσότερους από 9 μήνες και χάρη στο ιστορικό της δέσμευσης του GitHub, οι ερευνητές κατάφεραν να αποκτήσουν μοναδική γνώση σχετικά με τη δραστηριότητα και τα εργαλεία του εισβολέα.
Αυτή η εκστρατεία ξεχωρίζει λόγω του χαμηλού προϋπολογισμού της και για το όχι πλήρως αναπτυγμένο σύνολο εργαλείων της, το οποίο έχει τροποποιηθεί αρκετές φορές μέσα σε λίγους μήνες για να αξιοποιήσει ενδιαφέροντα χαρακτηριστικά όπως το Google Drive C2. Η Kaspersky χαρακτηρίζει την επίθεση ως πιθανό έργο μιας μικρής κι ευέλικτης ομάδας.
«Η “watering–hole” είναι μια ενδιαφέρουσα στρατηγική που προσφέρει αποτελέσματα με στοχευμένες επιθέσεις σε συγκεκριμένες ομάδες ανθρώπων. Δεν είχαμε τη δυνατότητα να παρακολουθήσουμε τυχόν ζωντανές επιθέσεις και συνεπώς δεν μπορέσαμε να καθορίσουμε τον επιχειρησιακό στόχο. Ωστόσο, αυτή η εκστρατεία καταδεικνύει και πάλι γιατί η ιδιωτική ζωή στο διαδίκτυο θα πρέπει να προστατεύεται ενεργά. Οι κίνδυνοι ιδιωτικού απορρήτου είναι ιδιαίτερα υψηλοί όταν εξετάζουμε διάφορες κοινωνικές ομάδες και μειονότητες, επειδή υπάρχουν πάντα φορείς που ενδιαφέρονται να μάθουν περισσότερα για τέτοιες ομάδες», σχολιάζει ο Ivan Kwiatkowski, ανώτερος ερευνητής ασφάλειας της Kaspersky.
Περισσότερες πληροφορίες μπορείτε να βρείτε στον ειδικό ιστότοπο Securelist.com.
Για να αποφύγετε να πέσετε θύμα στοχευμένων επιθέσεων, η Kaspersky συνιστά:
- Ει δυνατόν, αποφύγετε να χρησιμοποιείτε το Adobe Flash Player. Εάν αυτό δεν είναι εφικτό και σας ζητηθεί να το ενημερώσετε, ελέγξτε την επίσημη ιστοσελίδα του προϊόντος αν χρειάζεται ενημέρωση, καθώς το προϊόν δεν χρησιμοποιείται πλέον από τους περισσότερους ιστότοπους και κατά πάσα πιθανότητα η ενημέρωση αποκρύπτει κάτι κακόβουλο.
- Χρησιμοποιήστε ένα VPN για να αποκρύψετε την σύνδεσή σας σε μια συγκεκριμένη ομάδα καλύπτοντας την πραγματική σας διεύθυνση IP και αποκρύπτοντας την πραγματική τοποθεσία στην οποία βρίσκεστε.
- Επιλέξτε μια αποδεδειγμένη λύση ασφαλείας, όπως το Kaspersky Security Cloud, για αποτελεσματική προσωπική προστασία από γνωστές και άγνωστες απειλές.
- Παρέχετε στην ομάδα Security Center Operations (SOC) πρόσβαση στις τελευταίες πληροφορίες σχετικά με απειλές και ενημερώστε τα νέα και αναδυόμενα εργαλεία, τις τεχνικές και τις τακτικές που χρησιμοποιούνται από τους απειλούντες και τους εγκληματίες του κυβερνοχώρου.
- Για ανίχνευση επιπέδου τερματικού σημείου, έρευνα και έγκαιρη αποκατάσταση περιστατικών, εφαρμόστε λύσεις EDR όπως το Kaspersky Endpoint Detection and Response.
- Εκτός από την υιοθέτηση βασικής προστασίας τερματικών σημείων, εφαρμόστε μια λύση ασφάλειας εταιρικής ποιότητας που εντοπίζει προηγμένες απειλές σε επίπεδο δικτύου σε πρώιμο στάδιο, όπως το Kaspersky Anti Targeted Attack Platform.