Sim, as ameaças cibernéticas (e as formas de abordar as vítimas) são muitas! No artigo de hoje, falaremos sobre um cibercrime de nome curioso: o ataque de watering hole ou watering hole attack.
Não é uma novidade que o universo da cibersegurança se utiliza de analogias para identificar as diferentes táticas dos hackers – é o caso, por exemplo, do phishing (que vem de “fishing”, ou “pescaria”).
Quando o assunto é o watering hole (“bebedouro” ou “vão/concavidade de água”, na tradução), o termo é escolhido para remeter ao modo como os felinos capturam suas vítimas na natureza selvagem, sem precisar ir à caça. Nessa situação, as feras somente esperam que suas presas visitem um local com água parada – e então atacam.
Como você pode imaginar, o cibercrime também funciona de um modo similar. Ficou interessado e deseja incrementar sua proteção cibernética? Saiba mais sobre o watering hole attack, formas eficazes de mitigação e exemplos reais de ataques famosos!
Entenda o ataque hacker: o que é watering hole attack?
O watering hole attack é um cibercrime personalizado, isto é, pensado para comprometer um determinado grupo de usuários ao infectar os sites que ele geralmente visita. Quando conseguem a visita, os hackers direcionam as vítimas para um site malicioso.
Nesse cenário, o objetivo final da ameaça é infectar os computadores dos usuários e ganhar acesso à rede das empresas. Não por acaso, esse cibercrime também é chamado de “ataque de comprometimento estratégico de websites”. Como não atua de forma ativa, o watering hole attack confia em grande parte na sorte – por isso, há a analogia com os predadores que apenas esperam suas presas beberem água, ou seja, esperam o acesso aos sites contaminados.
É possível, no entanto, que os hackers tornem a ação mais efetiva com o uso de e-mails para atrair as potenciais vítimas para os sites. Para citar um exemplo, podemos pensar em um hacker que está visando uma rede de farmácias, e que por isso busca invadir o site de um atacadista que é fornecedor dessa mesma rede.
Como funciona?
Como as presas dos felinos, os usuários geralmente ignoram que há uma ameaça à espreita. Depois de identificar seus alvos, os hackers agem para modificar um site que tem probabilidade de ser acessado pelas vítimas, inserindo um código malicioso na página.
Com isso, há o redirecionamento das vítimas para um servidor infectado, além da possível exploração de vulnerabilidades no navegador e enfim o acesso à rede corporativa e às informações desejadas.
Vale destacar, aqui, que um dos aspectos problemáticos do watering hole attack é que ele geralmente utiliza sites legítimos hospedados por empresas menores, que contêm brechas de segurança que podem ser exploradas por ataques do tipo zero-day (ou seja, ainda não há uma solução para a vulnerabilidade).
Os cibercriminosos que estão em busca de dados específicos também podem mirar somente em usuários de um determinado endereço IP, o que dificulta ainda mais a detecção. Como o sucesso do cibercrime se baseia na confiança dos usuários em determinados sites (que são sempre visitados), ele muitas vezes não levanta suspeitas e não deixa pistas, tornando-se especialmente alarmante.
É importante ter em mente, ainda, que a ameaça não é voltada apenas para grandes organizações, mas também vem almejando negócios de médio e pequeno porte.
Watering hole attack x Drive-by download
O chamado drive-by download nada mais é do que um ataque que identifica servidores vulneráveis na internet para inserir códigos maliciosos. Caso o computador do usuário tenha brechas de proteção, há um download automático desse código do site.
Sim, isso é exatamente o que acontece em um watering hole attack, mas existe uma diferença: ao contrário dos drive-y downloads comuns na web, o watering hole geralmente se aproveita de falhas “inéditas”, que podem acometer até mesmo os computadores que estiverem com todas as atualizações em dia – são as brechas de dia zero que já mencionamos acima.
Com o uso desse método, o watering hole attack se firma como um golpe ainda mais sofisticado e – o que é mais grave – tende a não deixar rastros.
4 casos famosos de watering hole attack
1. Holy Water Campaign, de 2019
Nesse golpe de watering hole attack, que ficou conhecido como Holy Water Campaign (Campanha de Água Benta), os cibercriminosos miraram grupos religiosos e de caridade na Ásia.
Nesse caso, as vítimas foram influenciadas a atualizar o Adobe Flash, o que foi o gatilho para a ameaça, que entrou para a história devido à sua rápida evolução. Os motivos para o crime, entretanto, permanecem desconhecidos.
2. O ataque NotPetya, de 2017
Em junho de 2017, o malware NotPetya (também chamado de ExPetr), supostamente originado na Ucrânia, comprometeu um site governamental no país. O vetor para os hackers, aqui, foram os usuários que acessaram o portal e baixaram malware sem saber. Como consequência, o conteúdo dos hard drives das vítimas foi apagado.
3. O ataque da cadeia de suprimentos do software Havex ICS, de 2013
Descoberto em 2013, o malware Havex é um dos cinco malwares voltados ao Sistema de Controle Industrial (IC) desenvolvidos na última década. O grupo hacker Berserk Bear começou a utilizar o Havex em uma campanha de espionagem de larga escala que mirava os setores de energia, aviação, farmácia, defesa e petroquímica, principalmente nos Estados Unidos e na Europa.
O Havex explorou ataques de cadeia de suprimentos e watering hole através de um fornecedor de software, além de apostar em campanhas de spear phishing para ganhar acesso aos sistemas das vítimas.
4. O ataque do Conselho de Relações Estrangeiras nos EUA
Em dezembro de 2012, o site do Conselho de Relações Estrangeiras foi infectado com malware através de uma vulnerabilidade de dia zero no Internet Explorer, da Microsoft. No ataque, o malware mirou somente usuários do Explorer nas línguas inglesa, chinesa, japonesa, coreana e russa.
Como mitigar um watering hole attack?
- Muitas vezes, o watering hole attack mira as vulnerabilidades dos browsers (navegadores) e suas aplicações adicionais, como o Java. É fundamental manter a atualização de todos esses programas nas estações de trabalho, acionando ferramentas de atualização automática e verificando periodicamente a versão do navegador e seus programas;
- Investir em soluções de monitoramento para rastrear os websites e redes corporativos, bloqueando o tráfego caso algum conteúdo malicioso seja detectado;
- Aplicar o bloqueio da execução automática do código de linguagens de scripting;
- Conceder atenção especial à toda parte associada às práticas de segurança no desenvolvimento de sites e à sua manutenção, incluindo a realização de auditorias constantes para identificar eventuais brechas que podem ser exploradas pelos cibercriminosos.
Por fim, é interessante destacar que o watering hole attack pode desencadear consequências devastadoras para as empresas, incluindo manchas irreparáveis em sua reputação no mercado.
Para aprofundar seus conhecimentos nas melhores soluções para maximizar sua segurança e eliminar as vulnerabilidades, saiba mais sobre os principais riscos de segurança da informação e como combatê-los!
Créditos da imagem de destaque: freepik
