Ataque al abrevadero

Estrategia de ataque informático

El abrevadero es una estrategia de ataque informático en la que un atacante adivina u observa qué sitios web utiliza con frecuencia una organización e infecta uno o más de ellos con malware . Con el tiempo, algún miembro del grupo objetivo quedará infectado. ^{[1] [2] [3]} Los hacks que buscan información específica solo pueden atacar a usuarios que provengan de una dirección IP específica . Esto también hace que los hacks sean más difíciles de detectar e investigar. ^[4] El nombre se deriva de los depredadores del mundo natural, que esperan una oportunidad para atacar a sus presas cerca de los abrevaderos . ^[5]

Uno de los peligros más importantes de los ataques de abrevadero es que se ejecutan a través de sitios web legítimos que no pueden incluirse fácilmente en listas negras. Además, los scripts y el malware utilizados en estos ataques suelen crearse meticulosamente, lo que dificulta que un software antivirus los identifique como amenazas. ^[6]

Técnicas de defensa

Los sitios web suelen estar infectados mediante vulnerabilidades de día cero en los navegadores u otro software. ^[4] Una defensa contra las vulnerabilidades conocidas es aplicar los parches de software más recientes para eliminar la vulnerabilidad que permitió que el sitio fuera infectado. Los usuarios ayudan con esto para garantizar que todo su software esté ejecutando la última versión. Una defensa adicional es que las empresas supervisen sus sitios web y redes y luego bloqueen el tráfico si se detecta contenido malicioso. ^[7] Otras técnicas de defensa incluyen el uso de contraseñas y claves de acceso complejas para acceder a sitios web, así como información biométrica para proteger los datos de ataques. El uso de inyecciones web, como firewalls o la descarga de software antivirus en los dispositivos, también puede proteger contra ataques. ^[8] Además, los sitios web pueden mejorar la protección desactivando o eliminando software vulnerable, como Flash y Adobe Reader, que suelen ser el objetivo de los ataques cibernéticos.

Ejemplos

2011

• Operación Torpedo : el gobierno de los Estados Unidos llevó a cabo un ataque a 3 sitios web Tor (red) . El FBI confiscó el acceso a los sitios web y continuó administrándolos durante un período de 19 días. Durante este tiempo, los sitios web se modificaron para ofrecer un NIT, que intentaría desenmascarar a los visitantes revelando su dirección IP, sistema operativo y navegador web. El código NIT se reveló como parte del caso USA v Cottom et al . Investigadores de la Universidad de Nebraska en Kearney y la Universidad Estatal de Dakota revisaron el código NIT y descubrieron que era una aplicación Adobe Flash que haría ping a la dirección IP real de un usuario a un servidor controlado por el FBI, en lugar de enrutar su tráfico a través de la red Tor y proteger su identidad. Utilizó una técnica del "motor de desocultación" de Metasploit y sólo afectó a los usuarios que no habían actualizado su navegador web Tor . ^{[9] [10] [11] [12]}

2012 Consejo de Relaciones Exteriores de EE. UU.

En diciembre de 2012, se descubrió que el sitio web del Consejo de Relaciones Exteriores estaba infectado con malware a través de una vulnerabilidad de día cero en Internet Explorer de Microsoft . En este ataque, el malware sólo se implementó entre usuarios que utilizaban Internet Explorer configurado en inglés, chino, japonés, coreano y ruso. ^[13]

2013 Ataque a la cadena de suministro del software Havex ICS

Havex fue descubierto en 2013 y es uno de los cinco programas maliciosos conocidos adaptados al sistema de control industrial (ICS) desarrollados en la última década. Energetic Bear comenzó a utilizar Havex en una campaña de espionaje generalizada dirigida a los sectores de energía, aviación, farmacéutico, defensa y petroquímico. La campaña se dirigió a víctimas principalmente en Estados Unidos y Europa. ^[14] Havex aprovechó los ataques a la cadena de suministro y los abrevaderos contra el software del proveedor de ICS, además de realizar campañas de phishing para obtener acceso a los sistemas de las víctimas. ^[15]

2013 Departamento de Trabajo de EE. UU.

A mediados de principios de 2013, los atacantes utilizaron el sitio web del Departamento de Trabajo de los Estados Unidos para recopilar información sobre los usuarios que visitaron el sitio web. Este ataque se dirigió específicamente a los usuarios que visitaban páginas con contenido relacionado con la energía nuclear. ^[dieciséis]

2015

• Operación Pacificador : el gobierno de EE. UU. se apoderó de un sitio web Tor (red) e instaló una " técnica de investigación de red " (NIT) basada en malware para piratear los navegadores web de los usuarios que acceden al sitio, revelando así sus identidades. La operación supuso la detención de 956 usuarios del sitio y cinco penas de prisión.

2016 bancos polacos

A finales de 2016, un banco polaco descubrió malware en los ordenadores de la institución. Se cree que la fuente de este malware fue el servidor web de la Autoridad de Supervisión Financiera de Polonia . ^[17] No ha habido informes sobre pérdidas financieras como resultado de este ataque. ^[17]

Ataque de la Organización de Aviación Civil Internacional con sede en Montreal de 2017

Hubo un ataque a nivel de organización en Montreal entre 2016 y 2017 por parte de una entidad desconocida que provocó una violación de datos. ^[18]

Ataque de CCleaner de 2017

De agosto a septiembre de 2017, el binario de instalación de CCleaner distribuido por los servidores de descarga del proveedor incluía malware. CCleaner es una herramienta popular utilizada para limpiar archivos potencialmente no deseados de computadoras con Windows, ampliamente utilizada por usuarios preocupados por la seguridad. Los archivos binarios del instalador distribuido estaban firmados con el certificado del desarrollador, lo que hacía probable que un atacante comprometiera el entorno de desarrollo o compilación y lo utilizara para insertar malware. ^{[19] [20]}

Ataque NotPetya de 2017

En junio de 2017, el malware NotPetya (también conocido como ExPetr), que se cree que se originó en Ucrania, comprometió un sitio web del gobierno ucraniano. El vector de ataque procedía de los usuarios del sitio que lo descargaban. El malware borra el contenido de los discos duros de las víctimas. ^[21]

Ataque a nivel de país chino de 2018

Hubo un ataque a nivel nacional en China desde finales de 2017 hasta marzo de 2018, por parte del grupo "LuckyMouse", también conocido como "Iron Tiger", "EmissaryPanda", " APT 27" y "Threat Group-3390". ^[22]

Campaña Agua Bendita 2019

En 2019, un ataque a un abrevadero, llamado Campaña del Agua Bendita, tuvo como objetivo grupos religiosos y caritativos asiáticos. ^[23] A las víctimas se les pidió que actualizaran Adobe Flash , lo que desencadenó el ataque. Fue creativo y distinto debido a su rápida evolución. ^[24] El motivo sigue sin estar claro. ^[24] Los expertos proporcionaron un análisis técnico detallado junto con una larga lista de indicadores de compromiso (IoC) involucrados en la campaña, pero ninguno pudo rastrearse hasta una amenaza persistente avanzada. ^[25]

Controversia de la vigilancia masiva/invasión de la privacidad en Estados Unidos

En los EE. UU., una demanda civil conjunta presentada por la Unión Estadounidense de Libertades Civiles (ACLU), la Clínica de Libertades Civiles y Transparencia y Privacy International contra varias ramas del gobierno de los EE. UU. alegó que el gobierno de los EE. UU. había estado utilizando ataques a abrevaderos en una nueva invasión masiva. de la privacidad de los ciudadanos comunes y corrientes. Además, la naturaleza de la demanda civil fue la falta de presentación de documentos relevantes como parte de una solicitud de la FOIA a las distintas agencias. Expediente de ACLU y Privacy International et al v. United States Agencies disponible en Courtlistener.com

Ver también

• Publicidad maliciosa

Referencias

1. Gragido, Will (20 de julio de 2012). "Leones en el abrevadero: el asunto" VOHO "". El blog de RSA . Corporación EMC .
2. Haaster, Jelle Van; Gevers, Rickey; Sprengers, Martijn (13 de junio de 2016). Guerrilla cibernética. Singreso. pag. 57.ISBN​ 9780128052846.
3. Molinero, Joseph B. (2014). Tecnologías de Internet y servicios de información, 2ª edición. ABC-CLIO. pag. 123.ISBN​ 9781610698863.
4. Symantec. Informe sobre amenazas a la seguridad en Internet, abril de 2016, pág. 38 [1]
5. Despertar, Margarita. "¿Qué es el ataque al abrevadero?". BuscarSeguridad . Consultado el 3 de abril de 2017 .
6. APOSTOL, Mihai; PALINIUC, Bogdan; MORAR, Rareș; VIDU, Florín (18 de mayo de 2022). "Estrategia maliciosa: ataques a abrevaderos". Revista rumana de seguridad cibernética . 4 (1): 29–37. doi : 10.54851/v4i1y202204 . ISSN  2668-6430.
7. Grimes, Roger A. "Cuidado con los ataques a los pozos de agua: la última arma sigilosa de los piratas informáticos". InfoMundo . Consultado el 3 de abril de 2017 .
8. Ismail, Khairun Ashikin; Singh, Manmeet Mahinderjit; Mustafa, Norlia; Keikhosrokiani, Pantea; Zulkefli, Zakiah (1 de enero de 2017). "Estrategias de seguridad para obstaculizar el ataque de delitos cibernéticos a Watering Hole". Procedia Ciencias de la Computación . 4ta Conferencia Internacional de Sistemas de Información 2017, ISICO 2017, 6-8 de noviembre de 2017, Bali, Indonesia. 124 : 656–663. doi : 10.1016/j.procs.2017.12.202 . ISSN  1877-0509.
9. "Los federales irrumpen en un enorme sitio de pornografía infantil oculto en Tor utilizando malware cuestionable". Ars Técnica. 2015-07-16 . Consultado el 19 de enero de 2020 .
10. Kevin Poulsen (Wired.com) (30 de junio de 2015). "FBI Tor revienta 227 1". Documentcloud.org . Consultado el 19 de enero de 2020 .
11. Ashley Podhradsky (17 de enero de 2017). "Scholarly Commons - Conferencia anual de ADFSL sobre ciencia forense digital, seguridad y derecho: ingeniería inversa, un problema que desenmascara a los usuarios de Tor". Conferencia Anual de Adfsl sobre Forense Digital, Seguridad y Derecho . Commons.erau.edu . Consultado el 19 de enero de 2020 .
12. Poulsen, Kevin. "El FBI utilizó la herramienta de piratería favorita de la Web para desenmascarar a los usuarios de Tor". CABLEADO . Consultado el 19 de enero de 2020 .
13. "Sitio web del Consejo de Relaciones Exteriores afectado por el ataque al abrevadero, IE Zero-Day Exploit". Puesto de amenaza . 29 de diciembre de 2012 . Consultado el 2 de abril de 2017 .
14. "Malware centrado en ICS". ics-cert.us-cert.gov . Consultado el 9 de diciembre de 2020 .
15. "Divulgación completa de los troyanos Havex". Netresec . 27 de octubre de 2014 . Consultado el 9 de diciembre de 2020 .
16. "Se confirma que el ataque al abrevadero del Departamento de Trabajo fue de día 0 con posibles capacidades de reconocimiento avanzadas". blogs@Cisco - Blogs de Cisco . 4 de mayo de 2013 . Consultado el 3 de abril de 2017 .
17. "Los atacantes apuntan a decenas de bancos globales con nuevo malware". Respuesta de seguridad de Symantec . Consultado el 2 de abril de 2017 .
18. "'El paciente cero 'en el ciberataque a la agencia de aviación de la ONU era el hijo de un alto funcionario, revela un correo electrónico | CBC News ". 2023-02-20. Archivado desde el original el 2023-02-20 . Consultado el 26 de diciembre de 2023 .
19. "CCleanup: una gran cantidad de máquinas en riesgo". blogs@Cisco - Blogs de Cisco . Consultado el 19 de septiembre de 2017 .
20. "Notificación de seguridad para CCleaner v5.33.6162 y CCleaner Cloud v1.07.3191 para usuarios de Windows de 32 bits". blogs@Piriform - Blogs piriformes . Consultado el 19 de septiembre de 2017 .
21. "Los investigadores encuentran enlaces APT de BlackEnergy en el código ExPetr". 3 de julio de 2017.
22. "Los piratas informáticos chinos llevaron a cabo un ataque a un abrevadero a nivel nacional".
23. "Kaspersky descubre un creativo ataque a un pozo de agua descubierto en la naturaleza". Kaspersky . 26 de mayo de 2021.
24. "Agua bendita: ataque dirigido a pozos de agua en curso en Asia". listasegura.com . 31 de marzo de 2020 . Consultado el 5 de agosto de 2020 .
25. "Agua bendita: ataque dirigido a pozos de agua en curso en Asia". listasegura.com . 31 de marzo de 2020 . Consultado el 3 de febrero de 2022 .