Vídeo: Watering Hole Attacks - CompTIA Security+ SY0-501 - 1.2 (De novembre 2024)
Les campanyes de "reg de forat" són més visibles darrerament, i els investigadors identifiquen nous incidents gairebé cada dia. L'atac que va comprometre diversos ordinadors a Facebook, Twitter, Apple i Microsoft el mes passat sembla que també va afectar més empreses.
Facebook va revelar el mes passat que alguns dels seus desenvolupadors havien estat infectats amb un troià de Mac després de visitar un fòrum de desenvolupadors mòbils piratejat. En aquell moment, la companyia va indicar que moltes altres empreses també havien estat afectades. Sembla que els atacants contagiaven els empleats en "una àmplia gamma d'empreses objectiu, entre indústries", va trobar el Ledger de seguretat a principis d'aquesta setmana. La llista d’organitzacions afectades incloïa fabricants d’automòbils destacats, agències governamentals nord-americanes i, fins i tot, “fins i tot un fabricant de dolços més important”, segons l’informe.
"L'amplitud de tipus de serveis i entitats dirigides no reflecteix un atac dirigit a un sector tecnològic o industrial únic", va dir a The Security Ledger Joe Sullivan, cap de seguretat de Facebook.
Què és un forat de reg?
Sembla que els atacants han segrestat altres dos llocs de desenvolupament d'aplicacions mòbils, un dedicat als desenvolupadors d'Android, a més del fòrum per a desenvolupadors d'iPhone que va provocar els desenvolupadors de Facebook, va informar The Security Ledger . D'altres llocs web (no només desenvolupador d'aplicacions mòbils o altres tipus de desenvolupament de programari) també es van utilitzar en aquesta àmplia campanya, segons fonts coneixedores de la investigació.
En un atac de forat de reg, els atacants comprometen i manipulen un lloc web per proporcionar programari maliciós als visitants del lloc. Tot i això, les motivacions dels atacants en aquest tipus d’atac són diferents de les webs de pirateria com a forma de protesta o intenció de robar informació o diners. En canvi, aquests atacants aprofiten llocs i aplicacions insegurs per orientar-se a la classe d’usuaris que probablement visiti aquest lloc. En el cas del lloc del Consell de Relacions Exteriors, al desembre, els atacants van ser probablement després d'haver-hi ganes de la política i d'altres que tractessin la política exterior. Els desenvolupadors de mòbils probablement visiten un fòrum de desenvolupadors i la llista continua.
Atac pirat o regat?
Les operacions del forat de reg semblen atacs du dia , i cada dia hi ha nous informes sobre llocs. Websense Security Labs va comprovar ahir que els llocs web relacionats amb el govern israelià ict.org.il i herzliyaconference.org havien estat piratejats per servir una explotació d'Internet Explorer. L'atac va descarregar un fitxer desplegable de Windows i va obrir una porta del darrere persistent per comunicar-se amb el servidor de comandaments i control, va dir Websense. Els usuaris calculen que els usuaris estaven infectats fins al 23 de gener.
La companyia va trobar pistes que insinuen el mateix grup "Elderwood" darrere de l'atac del Consell sobre Relacions Exteriors que també estava darrere d'aquesta campanya.
El National Journal, que es va trobar una publicació per a investigadors polítics a Washington, DC, aquesta setmana servia variants del rootkit ZeroAccess i dels antivirus falsos aquesta setmana. El moment de l’atac és una mica sorprenent, perquè la revista havia trobat programari maliciós al seu lloc al febrer i acabava d’assegurar-lo i netejar-lo. El darrer atac va utilitzar dues vulnerabilitats Java conegudes i va dirigir els visitants a un lloc que allotjava el kit d’explotació Fiesta / NeoSploit.
Per què s'estan produint aquests atacs?
Els desenvolupadors són "objectius generalment suaus", ja que tenen un accés ampli als recursos interns i sovint tenen drets d'administrador (o privilegis elevats) als seus propis ordinadors, segons Rich Mogull, analista i CEO de Securosis. Els desenvolupadors dediquen molt de temps a diversos llocs de desenvolupadors i poden participar en debats al fòrum. Molts d'aquests llocs de fòrum no tenen la millor seguretat en el seu lloc i són vulnerables a compromisos.
Independentment de si l’atacant llança un atac dirigit o encara confia en una campanya generalitzada per eliminar el màxim nombre de víctimes possibles, els delinqüents "van després de l’empleat si voleu accés a l’empresa", va escriure Anup Ghosh, CEO i fundador d’Invincea..
Tot i que els atacants podrien haver estat llançant una xarxa àmplia i no dirigint-se específicament a un tipus d’usuari, els delinqüents van triar aquests llocs per una raó. Els llocs governamentals, les publicacions i els fòrums de desenvolupadors són llocs de gran trànsit, que ofereixen als atacants una àmplia quantitat de potencials víctimes.
Un cop els atacants tinguin una llista de víctimes, poden identificar les víctimes d’alt valor i crear la següent ronda d’atacs, que pot implicar més enginyeria social o instruir el malware resident per descarregar programari maliciós addicional.
Des del punt de vista d’un usuari, això remarca la importància de mantenir actualitzades les eines de seguretat, el programari i el sistema operatiu amb els pedaços més recents. Els atacants no utilitzen només zero dies; molts dels atacs depenen de les vulnerabilitats antigues, conegudes, perquè la gent no s’actualitza regularment. Si el vostre treball requereix que accediu a llocs que utilitzen Java, tingueu un navegador dedicat per a aquests llocs i desactiveu Java al navegador per defecte per accedir a la resta del web.
Aneu amb compte per aquí.