Ataque de abrevadero
El término ataque de abrevadero, en inglés watering hole attack, es una estrategia de ataque contra organizaciones en la que el atacante infecta con malware sitios web de terceros muy utilizados por los usuario de la organización. De esta forma cuando los usuario de la organización acceden a ese sitio web quedan infectados. El ataque es altamente efectivo ya que con la infección de un solo sitio, se puede lograr que miles de víctimas descarguen la amenaza. El éxito se incrementa si se usa vulnerabilidades 0-Day, no conocidas aún públicamente y que no han sido solucionadas por el fabricante.[1] Por ejemplo una estrategia habitual es infectar medios de comunicación digitales. A veces, para hacer el ataque de forma más sigilosa, el malware solo es descargado cuando se detecta que el usuario pertenece a la organización objetivo, por ejemplo detecte la procedencia del visitante y comparando con la IP del proxy de la organización objetivo, infectando sólo páginas de ciertas temática o en ciertos idiomas.[2][3][4]
Es una técnica muy utilizada en amenazas persistentes avanzadas en las que los sistemas de la organización objetivo están muy protegidas y es mucho más fácil analizar las costumbres de los usuarios y realizar este tipo de ataque en sitios web vulnerables muy utilizados aprovechando así la relación de confianza existente entre el empleado y la web. Al mismo tiempo es mucho más difícil poder trazar el origen de la intrusión en caso de que se detecte la actividad anómala del malware ya que el tráfico de infección puede ocultarse dentro del tráfico habitual.[2]
Su nombre proviene de la forma en que algunos depredadores del mundo animal esperan su oportunidad para atacar a su presa cerca de los pozos de agua que sirven de abrevadero.[1]
Ejemplos
Este tipo de ataques han sido utilizados por ejemplo en:
- En 2013 el Departamento de Trabajo de los Estados Unidos fue infectado como malware pero exclusivamente en aquellas páginas relativa a información nuclear.[3]
- En 2016 se realizó un ataque a bancos de Polonia usando como web infectada la web de la Autoridad Financiera de Polonia. [5]
- En 2017 el ransomware Petya fue introducido a través la infección del sitio web del gobierno de Ucrania.[6]
- En distintas campaña el grupo de hackers Energetic Bear ha usado este tipo de ataques para filtrar malware en organizaciones vinculadas al sector energético.[7][8]
Referencias
- Watering Hole Attack: Método de espionaje contra las empresas. Cristian Borghello. MUG 2013.
- ¿Qué son los «Watering Hole Attacks»?. Juan Manuel Fernandez. 30 de noviembre de 2016
- «Department of Labor Watering Hole Attack Confirmed to be 0-Day with Possible Advanced Reconnaissance Capabilities». blogs@Cisco - Cisco Blogs (en inglés estadounidense). Consultado el 3 de abril de 2017.
- «Council on Foreign Relations Website Hit by Watering Hole Attack, IE Zero-Day Exploit». Threatpost (en inglés estadounidense). 29 de diciembre de 2012. Consultado el 2 de abril de 2017.
- «Attackers target dozens of global banks with new malware». Symantec Security Response. Consultado el 2 de abril de 2017.
- https://threatpost.com/researchers-find-blackenergy-apt-links-in-expetr-code/126662/
- THREAT GROUP CARDS: A THREAT ACTOR ENCYCLOPEDIA. ThaiCert 2019
- Havex. New Jersey Cybersecurity and Communications Integration Cell 2017