Video: Hard earned meal for Coyote on Bison Watering hole cam. 06 December 2017 (Tháng Chín 2024)
Các chiến dịch "tưới nước lỗ" gần đây có thể thấy rõ hơn, với các nhà nghiên cứu xác định các sự cố mới gần như mỗi ngày. Cuộc tấn công đã làm tổn hại một số máy tính tại Facebook, Twitter, Apple và Microsoft vào tháng trước dường như cũng đã tác động đến nhiều công ty hơn.
Facebook đã tiết lộ vào tháng trước rằng một số nhà phát triển của họ đã bị nhiễm Mac Trojan sau khi truy cập diễn đàn dành cho nhà phát triển di động bị hack. Vào thời điểm đó, công ty cho biết nhiều công ty khác cũng đã bị ảnh hưởng. Dường như những kẻ tấn công đã lây nhiễm nhân viên trong "một loạt các công ty mục tiêu, trong các ngành công nghiệp", Security Ledger tìm thấy vào đầu tuần này. Danh sách các tổ chức bị ảnh hưởng bao gồm các nhà sản xuất ô tô nổi tiếng, các cơ quan chính phủ Hoa Kỳ và "thậm chí là một nhà sản xuất kẹo hàng đầu", theo báo cáo.
Joe Sullivan, giám đốc an ninh của Facebook, nói: "Độ rộng của các loại dịch vụ và thực thể được nhắm mục tiêu không phản ánh một cuộc tấn công nhắm mục tiêu vào một lĩnh vực công nghệ hoặc công nghiệp duy nhất".
Lỗ tưới nước là gì?
Những kẻ tấn công dường như đã chiếm quyền điều khiển hai trang web phát triển ứng dụng di động khác, một dành cho các nhà phát triển Android, bên cạnh diễn đàn dành cho nhà phát triển iPhone đã tăng gấp ba nhà phát triển Facebook, The Security Ledger đưa tin. Các trang web khác không chỉ là nhà phát triển ứng dụng di động hay các loại phát triển phần mềm khác mà còn được sử dụng trong chiến dịch rộng lớn này, theo các nguồn tin quen thuộc với cuộc điều tra.
Trong một cuộc tấn công lỗ nước, kẻ tấn công thỏa hiệp và thao túng một trang web để phục vụ phần mềm độc hại cho khách truy cập trang web. Tuy nhiên, động cơ của những kẻ tấn công trong loại tấn công này khác với các trang web hack như một hình thức phản đối hoặc có ý định đánh cắp thông tin hoặc tiền. Thay vào đó, những kẻ tấn công này đang lợi dụng các trang web và ứng dụng không an toàn để nhắm mục tiêu nhóm người dùng có khả năng truy cập trang web cụ thể đó. Trong trường hợp Hội đồng về quan hệ đối ngoại trở lại vào tháng 12, những kẻ tấn công có lẽ đã theo sau các hợp đồng chính sách và những người khác liên quan đến chính sách đối ngoại. Các nhà phát triển di động có thể sẽ truy cập vào một diễn đàn dành cho nhà phát triển và danh sách này sẽ tiếp tục.
Hacked hoặc Watering Hole Attack?
Các hoạt động tưới nước dường như là các cuộc tấn công, với các báo cáo mới về các trang web bị xâm phạm mỗi ngày. Websense Security Labs đã phát hiện ra ngày hôm qua rằng các trang web liên quan đến chính phủ của Israel ict.org.il và herzliyaconference.org đã bị hack để phục vụ khai thác Internet Explorer. Cuộc tấn công đã tải xuống một tệp Windows dropper và mở ra một cửa hậu liên tục để liên lạc với máy chủ chỉ huy và kiểm soát, Websense nói. Các phòng thí nghiệm ước tính người dùng đã bị nhiễm bệnh sớm nhất là vào ngày 23 tháng 1.
Công ty tìm thấy manh mối gợi ý cùng nhóm "Elderwood" đằng sau cuộc tấn công của Hội đồng Quan hệ đối ngoại cũng đứng sau chiến dịch này.
Tạp chí National, một ấn phẩm dành cho những người trong cuộc chính trị ở Washington, DC, đã bị phát hiện đang phục vụ các biến thể của rootkit ZeroAccess và chương trình chống vi-rút giả trong tuần này, các nhà nghiên cứu của Invincea phát hiện. Thời điểm của cuộc tấn công là một chút ngạc nhiên, bởi vì tạp chí đã tìm thấy phần mềm độc hại trên trang web của nó vào tháng Hai và vừa bảo mật trang web và dọn sạch nó. Cuộc tấn công mới nhất đã sử dụng hai lỗ hổng Java đã biết và hướng khách truy cập đến một trang web lưu trữ bộ công cụ khai thác Fiesta / NeoSploit.
Tại sao những cuộc tấn công này xảy ra?
Các nhà phát triển là "mục tiêu mềm thường", vì họ có quyền truy cập rộng rãi vào tài nguyên nội bộ và thường có quyền quản trị viên (hoặc đặc quyền cao) trên máy tính của riêng họ, theo Rich Mogull, nhà phân tích và CEO của Securosis. Các nhà phát triển dành nhiều thời gian cho các trang web dành cho nhà phát triển khác nhau và có thể tham gia các cuộc thảo luận trên diễn đàn. Rất nhiều trang web diễn đàn này không có bảo mật tốt nhất và dễ bị xâm phạm.
Bất kể kẻ tấn công đang thực hiện một cuộc tấn công có chủ đích hay vẫn dựa vào một chiến dịch rộng khắp để sa thải càng nhiều nạn nhân càng tốt, bọn tội phạm "theo đuổi nhân viên nếu bạn muốn truy cập vào doanh nghiệp", Anup Ghosh, CEO và người sáng lập Invincea viết .
Mặc dù những kẻ tấn công có thể đã tạo ra một mạng lưới rộng và không nhắm mục tiêu cụ thể vào một loại người dùng, bọn tội phạm đã chọn các trang web đó vì một lý do. Các trang web chính phủ, các ấn phẩm và diễn đàn nhà phát triển là các trang web có lưu lượng truy cập cao, mang lại cho những kẻ tấn công một nhóm nạn nhân tiềm năng.
Khi những kẻ tấn công có danh sách nạn nhân, họ có thể xác định nạn nhân có giá trị cao và tạo ra các cuộc tấn công tiếp theo, có thể liên quan đến kỹ thuật xã hội nhiều hơn hoặc hướng dẫn phần mềm độc hại thường trú để tải thêm phần mềm độc hại.
Từ quan điểm của người dùng, điều này chỉ nêu bật tầm quan trọng của việc giữ cho các công cụ bảo mật, phần mềm và hệ điều hành của bạn được cập nhật với các bản vá mới nhất. Những kẻ tấn công không chỉ sử dụng zero-days; nhiều cuộc tấn công thực sự dựa vào các lỗ hổng cũ, đã biết, vì mọi người không cập nhật thường xuyên. Nếu công việc của bạn yêu cầu bạn truy cập các trang web sử dụng Java, hãy có một trình duyệt dành riêng cho các trang web đó và vô hiệu hóa Java trong trình duyệt mặc định để truy cập phần còn lại của Web.
Hãy cẩn thận ở ngoài đó.
