O que é um ataque de buraco molhando e como se proteger dele?
O cenário de ameaças on-line é um lugar muito diverso. Em uma extremidade do espectro, você tem pessoas com muito tempo em suas mãos tentando empurrar mal-pensado através de golpes e aplicativos infestados de anúncios que são pouco mais que um incômodo. Então, você tem hackers moderadamente habilidosos que sabem como criar um vetor de infecção eficiente e enganar muitas pessoas para que instalem inadvertidamente malwares perigosos. Finalmente, você tem o peixe realmente grande - tripulações sofisticadas de hackers (também conhecidas como grupos de Ameaça Persistente Avançada (APT)), que geralmente são patrocinados pelo estado e buscam alvos específicos e de alto perfil. Para atingir seus objetivos, esses grupos sofisticados, por vezes, implantam o que se tornou conhecido na indústria como um 'ataque de lacuna'.
Índice
A diferença entre hackers regulares e agentes de ameaças patrocinados pelo estado
Em comparação com os cibercriminosos comuns, o trabalho dos APTs é muito mais difícil. Em primeiro lugar, seus alvos geralmente são grandes empresas ou organizações governamentais que sabem quão valiosa sua infraestrutura de TI poderia ser e que pensaram em sua segurança. O malware APT deve ser muito bom em cumprir suas tarefas, sem ser detectado, mas mesmo isso pode não ser suficiente, pois a implantação do referido malware pode envolver a passagem pelo fator humano.
Em campanhas de spray e orando direcionadas a usuários que clicam por cliques, isso não é um grande problema, mas as vítimas de hackers patrocinados pelo Estado podem ser muito mais difíceis de enganar. As pessoas que trabalham para grandes organizações geralmente passam por um extenso treinamento em segurança cibernética e, portanto, têm menos probabilidade de abrir anexos aleatórios ou clicar em links em e-mails. É por isso que, embora não esteja completamente ausente do arsenal dos APTs, o phishing neste ambiente pode não ser tão eficaz. É aqui que entram os ataques do watering hole.
O que é um ataque de lacuna?
Uma das características distintas das atividades cibercriminosas realizadas pelos grupos APT é o fato de que muitas vezes é baseado em um estudo cuidadoso da rotina diária do alvo. Quando estão preparando um ataque de watering hole, os hackers usam ferramentas de reconhecimento ou informações públicas para aprender mais sobre os hábitos de navegação da vítima. Eles então comprometem um ou mais dos sites que a vítima visita regularmente e a usam como um vetor de ataque.
Para minimizar danos colaterais e evitar a detecção, o código malicioso que os hackers injetam frequentemente verifica o IP de cada visitante e aciona a infecção apenas se detectar o endereço da vítima. Dito isso, os ataques de watering hole podem ser direcionados não apenas para um único alvo, mas para um grupo de organizações que trabalham no mesmo setor.
É daí que vem o nome do watering hole - assim como os predadores se escondem em buracos reais para atacar suas presas, os hackers têm informações suficientes sobre as rotinas online dos alvos e o estão alavancando para criar um vetor de ataque efetivo. Alguns de vocês podem dizer que soa um pouco exagerado, mas, como uma parte do setor bancário da Polônia aprendeu com seus próprios custos há alguns anos, é tudo menos isso.
Em 2017, "alguns" bancos comerciais poloneses notaram que algo não estava certo com seus sistemas de computador. Os especialistas foram chamados e logo ficou claro que todos os bancos afetados foram atingidos pela mesma cepa de malwares anteriormente não documentados.. Investigações posteriores revelaram que a fonte da infecção era o site do órgão regulador financeiro nacional da Polônia, e pesquisadores da Symantec notaram mais tarde que outros grupos de hackers usaram as mesmas ferramentas para realizar ataques semelhantes em outras partes do mundo.
Prevenindo ataques de lacunas
Ataques watering hole mostram que no mundo on-line moderno, nem tudo é com você. Todo mundo usa sites e serviços de terceiros durante sua vida cotidiana, e o fato de que esses serviços de terceiros podem ser comprometidos é o que torna os ataques lacrimosos possíveis. Dito isto, na maioria dos casos, a infecção real depende de kits de exploração, e você não tem desculpa para não proteger a si e sua organização contra essa ameaça específica.
Software atualizado e atualizado e ferramentas de segurança respeitáveis são obviamente as primeiras coisas que precisam ser implementadas, mas provavelmente não são suficientes. Como mencionamos no passado , embora os kits de exploração sejam na maioria das vezes automatizados, eles às vezes dependem de um pouco de engenharia social e, com frequência, alguns conhecimentos técnicos básicos podem ser muito úteis. Portanto, se você trabalha para uma organização que pode ser alvo de ataques de lacunas, verifique se as atualizações automáticas de todos os aplicativos que você usa estão ativadas e tente manter os olhos abertos o tempo todo.
