Ataque en un abrevadero

Estrategia de ataque informático

El abrevadero es una estrategia de ataque informático en la que un atacante adivina u observa qué sitios web utiliza a menudo una organización e infecta uno o más de ellos con malware . Con el tiempo, algún miembro del grupo objetivo se infectará. ^{[1] [2] [3]} Los hackers que buscan información específica pueden atacar solo a usuarios que provienen de una dirección IP específica . Esto también hace que los hackers sean más difíciles de detectar e investigar. ^[4] El nombre se deriva de los depredadores del mundo natural, que esperan una oportunidad para atacar a sus presas cerca de los abrevaderos . ^[5]

Uno de los peligros más importantes de los ataques de tipo watering hole es que se ejecutan a través de sitios web legítimos que no se pueden incluir fácilmente en listas negras. Además, los scripts y el malware que se utilizan en estos ataques suelen crearse meticulosamente, lo que dificulta que un software antivirus los identifique como amenazas. ^[6]

Técnicas de defensa

Los sitios web suelen infectarse a través de vulnerabilidades de día cero en los navegadores u otro software. ^[4] Una defensa contra las vulnerabilidades conocidas es aplicar los parches de software más recientes para eliminar la vulnerabilidad que permitió que el sitio se infectara. En esto, los usuarios ayudan a garantizar que todo su software esté ejecutando la última versión. Una defensa adicional es que las empresas monitoreen sus sitios web y redes y luego bloqueen el tráfico si se detecta contenido malicioso. ^[7] Otras técnicas de defensa incluyen el uso de contraseñas y claves de acceso complejas para acceder a los sitios web, así como información biométrica para proteger los datos de los ataques. El uso de inyecciones web como firewalls o la descarga de software antivirus en los dispositivos también pueden proteger contra los ataques. ^[8] Además, los sitios web pueden mejorar la protección desactivando o eliminando software vulnerable, como Flash y Adobe Reader, que suelen ser el objetivo de los ataques cibernéticos.

Ejemplos

2011

• Operación Torpedo - El gobierno de los Estados Unidos llevó a cabo un ataque a 3 sitios web de la red Tor . El FBI se apoderó del acceso a los sitios web y continuó ejecutándolos durante un período de 19 días. Durante este tiempo, los sitios web fueron modificados para ofrecer un NIT, que intentaría desenmascarar a los visitantes revelando su dirección IP, sistema operativo y navegador web. El código NIT fue revelado como parte del caso USA v Cottom et al . Investigadores de la Universidad de Nebraska en Kearney y la Universidad Estatal de Dakota revisaron el código NIT y descubrieron que era una aplicación Adobe Flash que haría ping a la dirección IP real de un usuario a un servidor controlado por el FBI, en lugar de enrutar su tráfico a través de la red Tor y proteger su identidad. Utilizaba una técnica del "motor de desenmascaramiento" de Metasploit y solo afectaba a los usuarios que no habían actualizado su navegador web Tor . ^{[9] [10] [11] [12]}

Consejo de Relaciones Exteriores de los Estados Unidos de América, 2012

En diciembre de 2012, se descubrió que el sitio web del Consejo de Relaciones Exteriores estaba infectado con malware a través de una vulnerabilidad de día cero en Internet Explorer de Microsoft . En este ataque, el malware solo se implementó entre los usuarios que utilizaban Internet Explorer configurado en inglés, chino, japonés, coreano y ruso. ^[13]

Ataque a la cadena de suministro de software Havex ICS en 2013

Havex fue descubierto en 2013 y es uno de los cinco programas maliciosos conocidos diseñados para sistemas de control industrial (ICS) desarrollados en la última década. Energetic Bear comenzó a utilizar Havex en una campaña de espionaje generalizada dirigida a los sectores de energía, aviación, farmacéutica, defensa y petroquímica. La campaña se dirigía principalmente a víctimas en Estados Unidos y Europa. ^[14] Havex explotó los ataques a la cadena de suministro y a los abrevaderos del software de los proveedores de ICS, además de campañas de phishing selectivo para obtener acceso a los sistemas de las víctimas. ^[15]

Departamento de Trabajo de los Estados Unidos de América, 2013

A mediados de 2013, unos atacantes utilizaron el sitio web del Departamento de Trabajo de los Estados Unidos para recopilar información sobre los usuarios que lo visitaban. Este ataque se dirigió específicamente a los usuarios que visitaban páginas con contenido relacionado con la energía nuclear. ^[16]

2015

• Operación Pacifier : el gobierno de Estados Unidos confiscó un sitio web de la red Tor e instaló un malware basado en la " Técnica de Investigación de Redes " (NIT) para hackear los navegadores web de los usuarios que accedían al sitio, revelando así sus identidades. La operación condujo al arresto de 956 usuarios del sitio y a cinco sentencias de prisión.

Bancos polacos en 2016

A finales de 2016, un banco polaco descubrió un malware en los ordenadores de la institución. Se cree que la fuente de este malware era el servidor web de la Autoridad de Supervisión Financiera de Polonia . ^[17] No ha habido informes de pérdidas financieras como resultado de este ataque. ^[17]

Ataque a la Organización de Aviación Civil Internacional con sede en Montreal en 2017

Entre 2016 y 2017, en Montreal se produjo un ataque a nivel de organización por parte de una entidad desconocida que provocó una filtración de datos. ^[18]

Ataque de CCleaner 2017

Entre agosto y septiembre de 2017, el binario de instalación de CCleaner distribuido por los servidores de descarga del proveedor incluía malware. CCleaner es una herramienta popular que se utiliza para limpiar archivos potencialmente no deseados de las computadoras Windows, ampliamente utilizada por los usuarios preocupados por la seguridad. Los binarios de instalación distribuidos estaban firmados con el certificado del desarrollador, lo que hacía probable que un atacante comprometiera el entorno de desarrollo o compilación y lo usara para insertar malware. ^{[19] [20]}

Ataque de NotPetya en 2017

En junio de 2017, el malware NotPetya (también conocido como ExPetr), que se cree que se originó en Ucrania, comprometió un sitio web del gobierno ucraniano. El vector de ataque fue que los usuarios del sitio lo descargaron. El malware borra el contenido de los discos duros de las víctimas. ^[21]

Ataque a nivel nacional chino en 2018

Desde finales de 2017 hasta marzo de 2018, se produjo un ataque a nivel nacional en China, perpetrado por el grupo "LuckyMouse", también conocido como "Iron Tiger", "EmissaryPanda", " APT 27" y "Threat Group-3390". ^[22]

Campaña de Agua Bendita 2019

En 2019, un ataque de abrevadero, llamado Holy Water Campaign, tuvo como objetivo a grupos religiosos y de caridad asiáticos. ^[23] Se instó a las víctimas a actualizar Adobe Flash , lo que desencadenó el ataque. Fue creativo y distintivo debido a su rápida evolución. ^[24] El motivo sigue sin estar claro. ^[24] Los expertos proporcionaron un análisis técnico detallado junto con una larga lista de indicadores de compromiso (IoC) involucrados en la campaña, pero ninguno pudo rastrearse hasta una amenaza persistente avanzada. ^[25]

Polémica por la vigilancia masiva y la invasión de la privacidad en EE.UU.

En los EE. UU., una demanda civil conjunta interpuesta por la Unión Estadounidense por las Libertades Civiles (ACLU), la Clínica de Libertades Civiles y Transparencia y Privacy International contra varias ramas del gobierno de los EE. UU. alegó que el gobierno de los EE. UU. había estado utilizando ataques de abrevadero en una nueva invasión masiva de la privacidad de los ciudadanos comunes. Además, la naturaleza de la demanda civil fue la falta de presentación de documentos relevantes como parte de una solicitud de FOIA a las diversas agencias. El expediente de ACLU y Privacy International et al. contra Agencias de los Estados Unidos está disponible en Courtlistener.com

Véase también

• Publicidad maliciosa

Referencias

1. Gragido, Will (20 de julio de 2012). "Leones en el abrevadero: el asunto "VOHO"". El blog de RSA . EMC Corporation .
2. Haaster, Jelle Van; Gevers, Rickey; Sprengers, Martijn (13 de junio de 2016). Guerrilla cibernética. Singreso. pag. 57.ISBN​ 9780128052846.
3. Miller, Joseph B. (2014). Tecnologías de Internet y servicios de información, 2.ª edición. ABC-CLIO. pág. 123. ISBN 9781610698863.
4. Symantec. Informe sobre amenazas a la seguridad en Internet, abril de 2016, pág. 38 [1]
5. Rouse, Margaret. "¿Qué es un ataque de abrevadero?". SearchSecurity . Consultado el 3 de abril de 2017 .
6. APOSTOL, Mihai; PALINIUC, Bogdan; MORAR, Rareș; VIDU, Florin (18 de mayo de 2022). "Estrategia maliciosa: ataques de abrevadero". Revista Rumana de Ciberseguridad . 4 (1): 29–37. doi : 10.54851/v4i1y202204 . ISSN  2668-6430.
7. Grimes, Roger A. "Cuidado con los ataques desde pozos de agua: la última arma furtiva de los piratas informáticos". InfoWorld . Consultado el 3 de abril de 2017 .
8. Ismail, Khairun Ashikin; Singh, Manmeet Mahinderjit; Mustafa, Norlia; Keikhosrokiani, Pantea; Zulkefli, Zakiah (1 de enero de 2017). "Estrategias de seguridad para obstaculizar el ataque de delitos cibernéticos a Watering Hole". Procedia Ciencias de la Computación . 4ta Conferencia Internacional de Sistemas de Información 2017, ISICO 2017, 6-8 de noviembre de 2017, Bali, Indonesia. 124 : 656–663. doi : 10.1016/j.procs.2017.12.202 . ISSN  1877-0509.
9. "Los federales desmantelan un enorme sitio de pornografía infantil oculto en Tor usando malware cuestionable". Ars Technica. 16 de julio de 2015. Consultado el 19 de enero de 2020 .
10. Kevin Poulsen (Wired.com) (30 de junio de 2015). "El FBI desmantela Tor 227 1". Documentcloud.org . Consultado el 19 de enero de 2020 .
11. Ashley Podhradsky (17 de enero de 2017). "Scholarly Commons - Conferencia anual de la ADFSL sobre informática forense, seguridad y derecho: ingeniería inversa de un error que desenmascara a los usuarios de Tor". Conferencia anual de la ADFSL sobre informática forense, seguridad y derecho . Commons.erau.edu . Consultado el 19 de enero de 2020 .
12. Poulsen, Kevin. "El FBI utilizó la herramienta de piratería favorita de la Web para desenmascarar a los usuarios de Tor". WIRED . Consultado el 19 de enero de 2020 .
13. "Sitio web del Consejo de Relaciones Exteriores afectado por ataque Watering Hole, vulnerabilidad de día cero de IE". Threatpost . 2012-12-29 . Consultado el 2017-04-02 .
14. "Malware enfocado en ICS". ics-cert.us-cert.gov . Consultado el 9 de diciembre de 2020 .
15. "Divulgación completa de los troyanos Havex". Netresec . 27 de octubre de 2014 . Consultado el 9 de diciembre de 2020 .
16. "Se confirma que el ataque al Watering Hole del Departamento de Trabajo es de tipo 0 con posibles capacidades de reconocimiento avanzadas". blogs@Cisco - Blogs de Cisco . 4 de mayo de 2013 . Consultado el 3 de abril de 2017 .
17. "Los atacantes atacan a docenas de bancos globales con nuevo malware". Respuesta de seguridad de Symantec . Consultado el 2 de abril de 2017 .
18. "El 'paciente cero' del ciberataque a la agencia de aviación de la ONU era el hijo de un alto funcionario, según revela un correo electrónico | CBC News". 20 de febrero de 2023. Archivado desde el original el 20 de febrero de 2023. Consultado el 26 de diciembre de 2023 .
19. "CCleanup: una gran cantidad de máquinas en riesgo". blogs@Cisco - Blogs de Cisco . Consultado el 19 de septiembre de 2017 .
20. "Notificación de seguridad para CCleaner v5.33.6162 y CCleaner Cloud v1.07.3191 para usuarios de Windows de 32 bits". blogs@Piriform - Blogs de Piriform . Consultado el 19 de septiembre de 2017 .
21. "Los investigadores encuentran vínculos APT de BlackEnergy en el código de ExPetr". 3 de julio de 2017.
22. "Hackers chinos llevaron a cabo un ataque a un abrevadero a nivel de país".
23. "Kaspersky descubre un ataque creativo de pozo de agua descubierto en la naturaleza". Kaspersky . 26 de mayo de 2021.
24. "Agua bendita: ataque continuo de pozos de agua en Asia". securelist.com . 31 de marzo de 2020 . Consultado el 5 de agosto de 2020 .
25. "Agua bendita: un ataque continuo y selectivo de pozos de agua en Asia". securelist.com . 31 de marzo de 2020 . Consultado el 3 de febrero de 2022 .