Cos'è un attacco di abbeveratoio e come proteggersi da esso?
Il panorama delle minacce online è un luogo davvero diversificato. A un'estremità dello spettro, hai persone con troppo tempo a disposizione che cercano di spingere truffe mal pensate e applicazioni infestate da pubblicità che sono poco più di un fastidio. Quindi, hai hacker moderatamente qualificati che sanno come progettare un vettore di infezione efficiente e ingannare molte persone a installare inavvertitamente malware pericoloso. Infine, hai il pesce davvero grosso: sofisticati equipaggi di hacking (noti anche come gruppi APT) avanzati che sono spesso sponsorizzati dallo stato e perseguono obiettivi specifici e di alto profilo. Per raggiungere i loro obiettivi, questi gruppi sofisticati a volte implementano ciò che è diventato noto nel settore come un "attacco da abbeveratoio".
Table of Contents
La differenza tra hacker regolari e attori delle minacce sponsorizzati dallo stato
Rispetto ai criminali informatici di routine, il lavoro degli APT è molto più difficile. Prima di tutto, i loro obiettivi sono spesso grandi aziende o organizzazioni governative che sanno quanto preziosa possa essere la loro infrastruttura IT e hanno pensato alla sua sicurezza. Il malware APT deve essere molto bravo ad adempiere ai suoi compiti rimanendo inosservato, ma anche questo potrebbe non essere sufficiente perché implementazione di detto malware potrebbe comportare il passaggio attraverso il fattore umano.
Nelle campagne spray-and-pray rivolte agli utenti che fanno clic, questo non è un grosso problema, ma le vittime di hacker sponsorizzati dallo stato potrebbero essere molto più difficili da ingannare. Le persone che lavorano per le grandi organizzazioni spesso seguono una formazione approfondita sulla cibersicurezza e sono quindi molto meno propensi ad aprire allegati casuali o link a clic nelle e-mail. Ecco perché, sebbene non sia del tutto assente dal arsenale degli APT, il phishing in questo ambiente potrebbe non essere così efficace. È qui che entrano in gioco gli attacchi da abbeveratoio.
Che co è un attacco di abbeveratoio?
Una delle caratteristiche distinte delle attività criminali informatiche svolte dai gruppi APT è il fatto che spesso si basa su uno studio attento della routine quotidiana del bersaglio. Quando stanno preparando un attacco di abbeveratoio, gli hacker usano strumenti di ricognizione o informazioni pubbliche per saperne di più sulle abitudini di navigazione della vittima. Quindi compromettono uno o più dei siti Web visitati regolarmente dalla vittima e lo utilizzano come vettore di attacco.
Per ridurre al minimo i danni collaterali ed evitare il rilevamento, gli hacker di codice dannoso spesso controllano IP di ogni visitatore e innescano infezione solo se rileva indirizzo della vittima. Detto questo, gli attacchi di abbeveratoi possono essere mirati non solo a un singolo obiettivo ma a un gruppo di organizzazioni che lavorano nello stesso settore.
È da qui che viene il nome del attacco alla buca acqua - proprio come i predatori si nascondono intorno alle buche della vita reale per attaccare la loro preda, gli hacker hanno abbastanza informazioni sulle routine online dei bersagli e lo stanno sfruttando per creare un vettore di attacco efficace. Alcuni di voi potrebbero dire che sembra un po inverosimile, ma, come una parte del settore bancario polacco ha imparato a proprie spese un paio di anni fa, è tut altro.
Nel 2017, "alcune" banche polacche commerciali hanno notato che qualcosa non andava bene con i loro sistemi informatici. Sono stati chiamati gli esperti e presto è diventato chiaro che tutte le banche colpite sono state colpite dallo stesso ceppo di malware precedentemente non documentato. Ulteriori indagini hanno rivelato che la fonte di infezione era il sito web del regolatore finanziario nazionale polacco, e in seguito i ricercatori di Symantec hanno notato che altri gruppi di hacker avevano utilizzato gli stessi strumenti per realizzare simili attacchi di abbeveratoi in altre parti del mondo.
Prevenire gli attacchi da abbeveratoio
Gli attacchi ai watering hole dimostrano che nel moderno mondo online non tutto dipende da te. Tutti usano siti Web e servizi di terze parti durante la loro vita quotidiana e il fatto che questi servizi di terze parti possano essere compromessi è ciò che rende possibili gli attacchi da abbeveratoio. Detto questo, nella maggior parte dei casi, infezione effettiva dipende dai kit di exploit e non hai scuse per non proteggere te stesso e la tua organizzazione da questa particolare minaccia.
Software aggiornati e completamente aggiornati e strumenti di sicurezza affidabili sono ovviamente le prime cose che devono essere messe in atto, ma probabilmente non sono sufficienti. Come accennato in passato , anche se i kit di exploit sono per lo più automatizzati, a volte fanno affidamento su un po di ingegneria sociale e spesso alcune conoscenze tecniche di base potrebbero fare molto. Quindi, se lavori per u organizzazione che potrebbe essere colpita da attacchi di abbeveratoio, assicurati che gli aggiornamenti automatici per tutte le applicazioni che utilizzi siano attivi e cerca di tenere gli occhi sempre aperti.
