حمله چاله آبیاری

از ویکی‌پدیا، دانشنامهٔ آزاد

چالهٔ آبیاری (به انگلیسی: Watering hole) یک استراتژی حمله رایانه‌ای است که در آن مهاجم حدس می‌زند یا مشاهده می‌کند که یک سازمان اغلب از کدام وب‌سایت‌ها استفاده می‌کند و یک یا چند مورد را با بدافزار آلوده می‌کند. در نهایت، برخی از اعضای گروه مورد نظر آلوده می‌شوند. [۱] [۲] هک هایی که به دنبال اطلاعات خاص هستند ممکن است تنها به کاربرانی که از یک نشانی آی‌پی خاص وارد می شوند حمله کنند. این امر باعث می‌شود ردیابی و تحقیق در مورد هک های صورت گرفته سخت تر و دشوارتر شود. [۳] این نام از شکارچیان جهان طبیعی گرفته شده است، که منتظر فرصتی برای حمله به طعمه های خود در نزدیکی چاله های آبیاری هستند. [۴]

فنون دفاعی[ویرایش]

وب‌سایت‌ها اغلب از طریق آسیب‌پذیری‌های روز صفر بر روی مرورگرها یا نرم‌افزارهای دیگر آلوده می‌شوند. [۳] یک دفاع در برابر آسیب‌پذیری‌های شناخته شده اعمال آخرین وصله‌های نرم‌افزاری برای حذف آسیب‌پذیری است که اجازه می‌داد سایت آلوده شود. این کار توسط کاربران انجام می‌شود تا اطمینان حاصل شود که تمامی نرم‌افزارهای آن‌ها آخرین نسخه را اجرا می‌کنند. یک دفاع دیگر این است که شرکت ها، وب سایت ها و شبکه های خود را کنترل کنند و در صورت تشخیص محتوای مخرب، ترافیک را مسدود کنند. [۵]

مثال ها[ویرایش]

۲۰۱۲ شورای روابط خارجی ایالات متحده[ویرایش]

در دسامبر ۲۰۱۲ وبگاه شورای روابط خارجی از طریق آسیب پذیری روز صفر در اینترنت اکسپلورر مایکروسافت به بدافزار آلوده شد. در این حمله، نرم‌افزار مخرب فقط در اختیار کاربرانی قرار گرفت که از اینترنت اکسپلورر برای انگلیسی، چینی، ژاپنی، کره ای و روسی استفاده می‌کردند. [۶]

حمله زنجیره تامین نرم‌افزار ۲۰۱۳ Havex ICS[ویرایش]

هاوکس در سال ۲۰۱۳ کشف شد و یکی از پنج بدافزار متناسب با سامانه کنترل صنعتی (ICS) شناخته شده است که در دهه گذشته توسعه یافته است. Berserk Bear شروع به استفاده از هاوکس در یک کمپین جاسوسی گسترده که بخش‌های انرژی، هوانوردی، دارویی، دفاعی، و پتروشیمی را هدف قرار داده بود، کرد. این کمپین قربانیان را در درجه اول در ایالات متحده و اروپا هدف قرار داد. [۷] هاوکس علاوه بر فعالیت های فیشینگ نیزه برای دسترسی به سیستم های قربانی، از حملات زنجیره تامین و چاله آبیاری به نرم‌افزار فروشنده ICS بهره برداری کرد. [۸]

وزارت کار ایالات متحده ۲۰۱۳[ویرایش]

در اوایل سال ۲۰۱۳، مهاجمان از وب‌گاه وزارت کار ایالات متحده آمریکا برای جمع آوری اطلاعات در مورد کاربران استفاده کردند. این حمله به طور خاص کاربرانی را هدف قرار داد که از صفحاتی با محتوای مرتبط با انرژی هسته‌ای بازدید می کردند. [۹]

بانک های لهستانی ۲۰۱۶[ویرایش]

در اواخر سال ۲۰۱۶ یک بانک لهستانی بدافزارهایی را در رایانه‌های متعلق به این موسسه کشف کرد. اعتقاد بر این است که منبع این بدافزار وب سرور اداره نظارت مالی لهستان بوده. [۱۰] هیچ گزارشی در مورد خسارات مالی ناشی از این هک گزارش نشده است.

حمله ۲۰۱۷ سازمان بین‌المللی هواپیمایی کشوری مستقر در مونترال[ویرایش]

یک حمله چاله آب در سطح سازمان در مونترال از سال 2016-2017 توسط یک نهاد ناشناخته که باعث نقض اطلاعات شد، صورت گرفت. [۱۱]

حمله CCleaner ۲۰۱۷[ویرایش]

از ماه اوت تا سپتامبر ۲۰۱۷، باینری نصب سی کلینر که توسط سرورهای بارگیری فروشنده توزیع می‌شد، شامل بدافزار بود. CCleaner یک ابزار محبوب است که برای پاک کردن فایل‌های ناخواسته بالقوه از رایانه‌های ویندوزی مورد استفاده قرار می گیرد و به طور گسترده توسط کاربران امنیتی استفاده می‌شود. نسخه های باینری توزیع شده با گواهی توسعه دهنده امضا شده بود و این احتمال وجود داشت که یک مهاجم از محیط توسعه استفاده کند و از این برای قرار دادن بدافزار استفاده کند. [۱۲] [۱۳]

حمله ۲۰۱۷ NotPetya[ویرایش]

در ژوئن ۲۰۱۷، بدافزار پتیا (مشهور به ExPtr)، که گمان می‌رود از اوکراین سرچشمه گرفته است، یک وب سایت دولت اوکراین را به خطر انداخت. حمله Vector از کاربران سایت بود که آن را بارگیری می کردند. این بدافزار محتوای هارد دیسک های قربانیان را پاک می‌کرد. [۱۴]

حمله ۲۰۱۸ در سطح کشور چین[ویرایش]

از اواخر سال ۲۰۱۷ تا مارس ۲۰۱۸، یک حمله چاله آبیاری در سطح کشور چین رخ داد، این حمله توسط گروه "LuckyMouse" همچنین به عنوان "Iron Tiger" ، "EmissaryPanda" ، " APT 27" و "Threat Group-3390" شناخته می شود. [۱۵]

کمپین آب مقدس ۲۰۱۹[ویرایش]

در سال ۲۰۱۹، یک حمله چاله آبیاری به نام کمپین آب مقدس، گروه های مذهبی و خیریه آسیایی را هدف قرار داد. [۱۶] از قربانیان خواسته شد تا ادوبی فلش را که باعث حمله شده است، به‌روز کنند. این اثر به دلیل تکامل سریع آن، خلاق و متمایز بود. انگیزه این کار هنوز مشخص نیست. [۱۷]

منابع[ویرایش]

  1. Gragido, Will (20 July 2012). "Lions at the Watering Hole – The "VOHO" Affair". The RSA Blog. EMC Corporation. Archived from the original on 7 August 2017. Retrieved 25 June 2021.
  2. Haaster, Jelle Van; Gevers, Rickey; Sprengers, Martijn (2016-06-13). Cyber Guerilla. Syngress. p. 57. ISBN 9780128052846.
  3. ۳٫۰ ۳٫۱ Symantec. Internet Security Threat Report, April 2016, p. 38 https://www.symantec.com/content/dam/symantec/docs/reports/istr-21-2016-en.pdf
  4. Rouse, Margaret. "What is watering hole attack?". SearchSecurity (به انگلیسی). Retrieved 2017-04-03.
  5. Grimes, Roger A. "Watch out for waterhole attacks -- hackers' latest stealth weapon". InfoWorld (به انگلیسی). Retrieved 2017-04-03.
  6. "Council on Foreign Relations Website Hit by Watering Hole Attack, IE Zero-Day Exploit". Threatpost (به انگلیسی). 2012-12-29. Retrieved 2017-04-02.
  7. "ICS Focused Malware". ics-cert.us-cert.gov (به انگلیسی). Retrieved 2020-12-09.
  8. "Full Disclosure of Havex Trojans". Netresec (به انگلیسی). Retrieved 2020-12-09.
  9. "Department of Labor Watering Hole Attack Confirmed to be 0-Day with Possible Advanced Reconnaissance Capabilities". blogs@Cisco - Cisco Blogs (به انگلیسی). Retrieved 2017-04-03.
  10. "Attackers target dozens of global banks with new malware". Symantec Security Response. Retrieved 2017-04-02.
  11. https://www.cbc.ca/news/canada/montreal/icao-patient-zero-cyberattack-whistleblower-1.5223883
  12. "CCleanup: A Vast Number of Machines at Risk". blogs@Cisco - Cisco Blogs (به انگلیسی). Retrieved 2017-09-19.
  13. "Security Notification for CCleaner v5.33.6162 and CCleaner Cloud v1.07.3191 for 32-bit Windows users". blogs@Piriform - Piriform Blogs (به انگلیسی). Retrieved 2017-09-19.
  14. https://threatpost.com/researchers-find-blackenergy-apt-links-in-expetr-code/126662/
  15. https://thehackernews.com/2018/06/chinese-watering-hole-attack.html
  16. "Kaspersky uncovers a creative water hole attack discovered in the wild". Kaspersky.
  17. "Holy water: ongoing targeted water-holing attack in Asia". securelist.com. Retrieved 2020-08-05.