La ciberseguridad es una gran preocupación en todas las industrias donde las computadoras se han convertido en parte del entorno de trabajo. Este uso generalizado de las computadoras para un fácil almacenamiento de datos ha abierto sus vulnerabilidades a personajes maliciosos que quisieran robar datos de las computadoras y redes. Son invisibles y funcionan sutilmente y apenas se notan. Atacar una red industrial en particular o empleados para robar datos o causar cualquier tipo de daño al sistema se denomina ataque watering hole. En este blog, analizaremos qué es un ataque watering hole, sus objetivos y cómo prevenir este tipo de ataques.
En este artículo hablamos de:
Definición de ataque watering hole
Un ataque watering hole o ataque de abrevadero es un tipo de ataque cibernético, en el que un atacante observa a la víctima de los sitios web o un grupo en particular visita de forma regular e infecta esos sitios con malware. Un ataque watering hole tiene el potencial de infectar a los miembros del grupo de víctimas objetivo.
El malware utilizado en los ataques de abrevadero generalmente recopila la información personal del objetivo y la envía de vuelta al servidor C&C operado por el atacante. A veces, el malware también puede dar a los atacantes acceso completo a los sistemas de las víctimas.
¿Cómo funciona?
El atacante primero acecha los sitios web visitados con frecuencia por una víctima o un grupo en particular, y luego infecta los sitios web visitados con frecuencia con malware.
Luego, el atacante identifica las vulnerabilidades asociadas con los sitios web e inyecta código de programación malicioso, a menudo en JavaScript o HTML, en los anuncios, banners, etc. que se muestran en el sitio web.
A continuación, el código malicioso redirige a los grupos objetivo a un sitio de suplantación de identidad donde hay malware o publicidad maliciosa (malvertising).
Cuando el grupo objetivo visita estos sitios web, un script que contiene malware se descarga automáticamente en las máquinas de la víctima.
Luego, el malware recopila la información personal de las víctimas y la envía de vuelta al servidor C&C operado por el atacante.
El phishing y el malware de abrevadero se utilizan comúnmente para atacar al grupo objetivo de víctimas. Una vez que los ciberdelincuentes han comprometido un sitio web, esperan pacientemente hasta que pueden conseguir objetivos en su red maliciosa.
¿A quién suelen estar dirigidos?
Los ciberdelincuentes que buscan obtener beneficios económicos se centran en los sitios web públicos favoritos de los consumidores entre los usuarios.
Los grupos más afectados por los ataques de abrevadero son las agencias gubernamentales, los grupos de derechos humanos, las autoridades públicas y las instituciones financieras. Esto se debe a que la información robada de estos objetivos puede permitir que los atacantes inicien más ataques.
Si los ciberdelincuentes buscan mucho más que una ganancia económica, entonces apuntan a sitios web públicos de industria conocida. Los atacantes se centran en las vulnerabilidades del sitio web. Al comprender estas vulnerabilidades, infectan el malware y esperan hasta que el objetivo caiga en la trampa.
Hasta la fecha, no solo las grandes empresas de tecnología como Facebook, Apple y Twitter se han visto atrapadas en estos ataques, sino también los bancos regionales, los grupos activistas, los sitios de recursos de política exterior del gobierno, los fabricantes, la base industrial de defensa y muchas otras empresas de industrias variadas. Los piratas informáticos utilizan exploits de día cero de Java en sus ataques, así como exploits dirigidos a fallos en Adobe Reader y Flash, o Internet Explorer, todas plataformas de software omnipresentes y multiplataforma.
¿Cuál es el objetivo de los ciberdelincuentes?
El objetivo principal de un ataque watering hole es infectar la computadora de un usuario con código malicioso para obtener acceso a la red en el lugar de trabajo del usuario.
Debido a que el navegador está diseñado para buscar y ejecutar indiscriminadamente código de la web en la máquina local, descargará silenciosamente el malware del sitio infectado.
Esto permite a los atacantes robar las credenciales de la red corporativa del visitante y realizar un ataque lateral dentro de la organización de la víctima, por ejemplo, realizando un seguimiento con correos electrónicos de phishing identificados a los empleados que informan a la víctima.
Entre los objetivos preferidos para los ataques de abrevadero: oficiales de cumplimiento en bancos, compañías de inversión y administración de patrimonio y otras firmas de servicios financieros. ¿Por qué centrarse en los profesionales del cumplimiento?
La razón es simple. Muchos equipos de cumplimiento todavía carecen de la protección adecuada contra las vulnerabilidades de seguridad transmitidas por la web cuando se conectan a Internet. Llevan a cabo investigaciones en la web como parte de su rutina, durante verificaciones de antecedentes, investigaciones en profundidad o para leer actualizaciones regulatorias.
Esto puede provocar una exposición peligrosa de la infraestructura de TI de su organización. Cuando los especialistas en cumplimiento usan un navegador local, los adversarios pueden identificar fácilmente la organización de origen y lanzar ataques de malware y spyware contra la empresa.
Se cree que otro ejemplo más reciente de un ataque de pozo de agua exitoso es el trabajo del grupo de amenazas APT32, también conocido como OceanLotus. Este grupo se dirige específicamente a los sistemas gubernamentales y del sector privado en Asia oriental. Uno de sus objetivos era la ASEAN, la Asociación de Naciones del Sudeste Asiático, que coordina las actividades económicas, comerciales y geopolíticas de sus estados miembros en Asia.
OceanLotus se dirigió a los empleados y visitantes de la ASEAN comprometiendo el dominio principal asean.org de la organización y sus subdominios.
¿Por qué son peligrosos los ataques de abrevadero?
En lugar de ver los ataques indiscriminados de abrevadero como un reemplazo del spear phishing, pueden verse como una herramienta adicional a disposición de los adversarios, que es lo que los hace tan peligrosos. Como todas las herramientas, los ataques de spear phishing y watering hole tienen fortalezas y debilidades específicas que se adaptan bien a ciertos trabajos, mientras que los hacen limitados en otras situaciones.
Como se describió anteriormente, los ataques de abrevadero recopilan enormes cantidades de datos que los atacantes tendrán que examinar en busca de información útil, lo que ralentiza su capacidad para tomar acciones maliciosas adicionales.
El spear phishing, por otro lado, ofrece a los atacantes la capacidad de concentrarse más en objetivos e información específicos. Un ataque de spear phishing exitoso proporciona acceso inmediato a los sistemas de un objetivo.
Dada la cantidad de información disponible sobre las organizaciones y sus empleados en Internet, los atacantes pueden identificar fácilmente los objetivos y crear correos electrónicos aparentemente genuinos que proporcionarán puertas de enlace a sistemas específicos y, en última instancia, a datos.
No se puede negar que los ataques de abrevadero están teniendo un impacto, pero la idea de que están reemplazando el spear phishing es errónea. Si bien el Informe sobre amenazas a la seguridad en Internet de 2014 de Symantec señala una disminución en el volumen general de correos electrónicos de spear phishing, el número de campañas aumentó en un 91%. Los adversarios no se están alejando del spear phishing como método de ataque; en cambio, están agudizando el enfoque de sus ataques.
Para lanzar una red más amplia destinada a comprometer a un gran número de usuarios, los ataques de abrevadero son una táctica eficaz, pero para un ataque muy enfocado que busca información específica, un spear phish bien elaborado sigue siendo la mejor arma de un adversario.
¿Cómo detectar un ataque watering hole?
A continuación indicamos algunas formas de detectar los ataques watering hole.
- Tener puertas de enlace web proporcionará capacidades de capa de detección que coincidan con la firma de los sitios web. Las organizaciones ahora están utilizando soluciones de malware altamente avanzadas para buscar actividad maliciosa en sitios web conocidos que los empleados o usuarios visitan con frecuencia.
- Las organizaciones tienen soluciones de seguridad de correo electrónico para escanear el correo electrónico entregado. Si los correos electrónicos tienen enmascaramiento de abrevadero en sus ID de correo electrónico, serán detectados.
- Los ciberdelincuentes normalmente utilizan Adobe Reader, Flash, Internet Explorer de Microsoft y JRE. Una forma comúnmente utilizada de prevenir los ataques de abrevadero por parte de las organizaciones es deshabilitar los programas mencionados anteriormente para que los usuarios accedan.
- Las organizaciones utilizan herramientas de ciberseguridad de abrevaderos para detectar dominios de abrevaderos.
¿Cómo evitar los watering hole attacks?
La prevención de los ataques de abrevadero, al igual que la de cualquier ataque altamente dirigido, puede ser un desafío. Sin embargo, una combinación de conciencia de seguridad y cultura de ciberseguridad adecuada en la organización, así como mantener los controles de seguridad en su lugar, puede ayudar a sentar las bases para una defensa organizacional eficaz.
Estas son algunas de las mejores prácticas para prevenir los watering holes:
Se sabe que los ataques de watering hole explotan vulnerabilidades conocidas, por lo que el primer paso en cualquier defensa de red es mantener todos tus sistemas, software y SO actualizados a la última versión con todos los parches ofrecidos por los proveedores aplicados.
Cuando se trata de detectar amenazas de día cero, invierte en herramientas de seguridad de red avanzadas, como soluciones que aprovechan el análisis del tráfico de red y realizan inspecciones de sitios web sospechosos para detectar a los atacantes que intentan moverse lateralmente a través de la red y exfiltrar datos.
La confianza cero puede y debe aplicarse también a los ataques de abrevadero. Verifica el tráfico de terceros, ya sea que provenga de un socio de confianza o de un sitio web popular. Una solución de seguridad que inspeccione todo el tráfico de la red permitirá a los investigadores de seguridad determinar si el tráfico proviene de un sitio web comprometido que se utiliza para un ataque de abrevadero.
También debe existir una solución que inspeccione los sitios web que frecuentan los usuarios de tu organización.
Asegúrate de que los navegadores y las herramientas que utilizan los servicios de reputación de sitios web notifiquen a los usuarios sobre los sitios web sospechosos a los que desean acceder.
Un paso simple, pero efectivo: el uso de un servicio VPN para disfrazar el comportamiento en línea de las personas dentro de la organización puede afectar en gran medida los esfuerzos de recopilación de información de los atacantes y poner presión en su intento de ataque de abrevadero.
Además, las organizaciones pueden ejecutar las cajas de arena del navegador presentes en la mayoría de los navegadores convencionales para proteger a los usuarios de los efectos secundarios de navegar por la web, incluido el acceso involuntario a sitios web sospechosos que pueden usarse en ataques de abrevadero.
Las puertas de enlace web son una excelente manera de defender a las organizaciones contra descargas no autorizadas que coinciden con una firma conocida o una mala reputación, y pueden proporcionar detección de ataques oportunistas de abrevaderos.
Mencionamos que las víctimas a menudo son atraídas a sitios web comprometidos en un ataque de abrevadero a través de correos electrónicos de spear phishing, por lo que tener una solución de seguridad de correo electrónico que proporcione un análisis avanzado de malware en el momento de la entrega del correo electrónico puede ayudar a proteger a los usuarios.
Como hemos visto, las APT suelen estar detrás de estos ataques. Al aplicar inteligencia de amenazas y análisis de big data, las organizaciones pueden obtener información sobre si están siendo atacadas por estos grupos, al correlacionar los datos de las actividades de ciberdelito en la naturaleza con el tráfico y las actividades que ocurren en la propia red de la organización.
La práctica hace que todo sea perfecto, así que asegúrate de que la capacitación en concienciación sobre seguridad incluya todas las amenazas actuales para tu organización, que definitivamente deberían incluir ataques watering hole. Educa a tus empleados sobre la naturaleza de estos ataques y las señales reveladoras de sitios web comprometidos que se utilizan en ataques de abrevadero, pero también incorpora prácticas de prevención y concientización que garantizarán que no sean víctimas.
Ejemplos de ataques watering hole
Estos son algunos de los principales ejemplos de ataques watering hole.
Facebook, Twitter, Microsoft y Apple
En 2013, los atacantes lograron comprometer sistemas en Facebook, Twitter, Microsoft y Apple como parte de una operación de abrevadero de amplio alcance utilizando sitios web que atrajeron a empleados de muchas empresas de alto perfil. Los atacantes utilizaron, entre otros abrevaderos, dos sitios web de desarrollo de aplicaciones móviles, uno de ellos iPhoneDevSDK.com.
Los sitios web se vieron comprometidos y se proporcionaron descargas de exploits para una vulnerabilidad de día cero en el complemento del navegador Java que se ejecuta en sistemas Windows y MacOS. Además de las cuatro organizaciones principales mencionadas, estos ataques de abrevaderos también afectaron a los fabricantes de automóviles, agencias gubernamentales y otras empresas.
LuckyMouse
Un grupo de actores de amenazas chino llamado LuckyMouse orquestó una campaña de ciberespionaje de 2017 a 2018, dirigida a uno de los centros de datos nacionales de un país de Asia central para llevar a cabo ataques de abrevadero, con el fin de obtener acceso a numerosos recursos gubernamentales. El grupo inyectó código JS malicioso en los sitios web oficiales del gobierno asociados con el centro de datos para comprometer las cuentas que pertenecen a los empleados del centro de datos. Las víctimas fueron infectadas con HyperBro RAT (Troyano de Acceso Remoto), permitiendo la administración remota a los actores.
OceanLotus
En 2018 y 2019 se llevó a cabo una campaña de abrevadero dirigida a varios sitios web en el sudeste asiático. Esta campaña, que se cree que fue dirigida por el grupo OceanLotus, fue de gran escala y se encontraron más de 20 sitios web comprometidos, incluido el Ministerio de Defensa de Camboya, el Ministerio de Relaciones Exteriores y Cooperación Internacional de Camboya, y varios medios vietnamitas de noticias y blogs. Los atacantes agregaron una pequeña pieza de código malicioso a los sitios web comprometidos, que verificaron la ubicación de los visitantes y solo los visitantes de Vietnam y Camboya recibieron el malware.
OACI
La Organización de Aviación Civil Internacional (OACI), una agencia especializada de las Naciones Unidas, fue víctima de un ataque de abrevadero atribuido a la amenaza persistente avanzada LuckyMouse en 2016. El grupo logró comprometer dos servidores en la OACI, así como cuentas de los servidores de correo, administrador de dominio y sysadmin.
Sin embargo, la OACI fue simplemente parte de un ataque de abrevadero, ya que se utilizaron para alcanzar los objetivos previstos, los miembros de las Naciones Unidas. Al menos uno de los estados miembros de la ONU se vio comprometido después del ciberataque de la OACI.
Turla épica
Turla fue una de las campañas de ciberespionaje más sofisticadas y persistentes que se produjeron entre 2014 y 2016. La operación “Epic” sirvió como la primera etapa de infección en la campaña de Turla, y se dirigió a agencias gubernamentales y embajadas junto con militares, investigación, educación y organizaciones farmacéuticas, ubicadas principalmente en Oriente Medio y Europa.
Los atacantes utilizaron correos electrónicos de spear phishing y ataques de abrevadero para infectar a las víctimas, con ataques de abrevadero utilizando una vulnerabilidad de ejecución de código arbitrario en Adobe Reader y exploits de Java, confiando en que los usuarios fueran engañados para ejecutar instaladores de malware Flash Player falsos.
Si bien no es común, los ataques de abrevadero son particularmente peligrosos, ya que utilizan tácticas de ingeniería social que juegan con la psique humana, lo que los hace difíciles de prevenir. Además, estos ataques tienen los componentes perfectos para dificultar su detección: uso de sitios web legítimos que no son sospechosos, correos electrónicos de spear phishing que emulan el sitio web comprometido y notificación por correo electrónico. Aún así, esto no es nada que una combinación eficaz de conciencia de seguridad, educación, controles de seguridad, soluciones y prácticas no puede ayudar a prevenir.