Watering hole – одна из разновидностей многоуровневых целенаправленных кибератак. Впервые я услыхал о ней на каком-то семинаре по безопасности, а вот подоспел и весьма показательный пример из реальной жизни.
Дословно watering hole действительно означает водопой, хотя имеется и более современное неформальное значение – бар/паб/кабак, где принято опрокинуть рюмку-другую после работы. Известно, кстати, что такие места уважали шпионы-вербовщики практически всех мировых разведок, так что перенос «лучших практик» в киберпространство вполне ожидаем. Со своей, естественно, спецификой.
Схема атаки примерно такова: находится какой-то более-менее специальный сайт (раздел, страница), который посещает именно необходимая категория жертв; он максимально незаметно взламывается, чаще всего с целью скрытной переадресации на внешний ресурс; с последнего, используя какие-то уязвимости в браузерах, на компьютеры жертв загружается вредоносный код, как правило малоизвестный. Собственно, и все, дальше, как говорится, дело техники.
Упомянутый реальный инцидент, подробно описанный компанией Invincea выглядел следующим образом. Вначале был взломан сайт Министерства труда США, конкретно, его разделы, популярные у сотрудников Министерства энергетики, в частности, посвященные опасности для здоровья персонала, вовлеченного в разработку ядерного оружия.
Внедренный JavaScript-код переадресовал пользователей на сайт злоумышленников, который задействовал неизвестную (0day) уязвимость Internet Explorer 8 для Windows XP. Microsoft ее уже признала и до выпуска патча рекомендует обновить браузер или скорректировать настройки безопасности. С этого сайта загружался необычный вариант трояна Poison Ivy, который распознавался только двумя из 46 популярных антивирусов.
О целях злоумышленников можно только догадываться, хотя выбор целевой аудитории достаточно красноречив. Естественно, после обнаружения атаки ее последствия были ликвидированы, но сколько она продолжалась незамеченной не сообщается.
Вводы из инцидента я бы сделал следующие (кто не согласен, приводите контраргументы):