Осторожно, водопой!

Watering hole – одна из разновидностей многоуровневых целенаправленных кибератак. Впервые я услыхал о ней на каком-то семинаре по безопасности, а вот подоспел и весьма показательный пример из реальной жизни.

Дословно watering hole действительно означает водопой, хотя имеется и более современное неформальное значение – бар/паб/кабак, где принято опрокинуть рюмку-другую после работы. Известно, кстати, что такие места уважали шпионы-вербовщики практически всех мировых разведок, так что перенос «лучших практик» в киберпространство вполне ожидаем. Со своей, естественно, спецификой.

Схема атаки примерно такова: находится какой-то более-менее специальный сайт (раздел, страница), который посещает именно необходимая категория жертв; он максимально незаметно взламывается, чаще всего с целью скрытной переадресации на внешний ресурс; с последнего, используя какие-то уязвимости в браузерах, на компьютеры жертв загружается вредоносный код, как правило малоизвестный. Собственно, и все, дальше, как говорится, дело техники.

Упомянутый реальный инцидент, подробно описанный компанией Invincea выглядел следующим образом. Вначале был взломан сайт Министерства труда США, конкретно, его разделы, популярные у сотрудников Министерства энергетики, в частности, посвященные опасности для здоровья персонала, вовлеченного в разработку ядерного оружия.

Внедренный JavaScript-код переадресовал пользователей на сайт злоумышленников, который задействовал неизвестную (0day) уязвимость Internet Explorer 8 для Windows XP. Microsoft ее уже признала и до выпуска патча рекомендует обновить браузер или скорректировать настройки безопасности. С этого сайта загружался необычный вариант трояна Poison Ivy, который распознавался только двумя из 46 популярных антивирусов.

О целях злоумышленников можно только догадываться, хотя выбор целевой аудитории достаточно красноречив. Естественно, после обнаружения атаки ее последствия были ликвидированы, но сколько она продолжалась незамеченной не сообщается.

Вводы из инцидента я бы сделал следующие (кто не согласен, приводите контраргументы):

1. все чаще для атак используются совершенно легитимные сайты, т.е. правило «просто не ходить куда не надо» вряд ли уже можно считать эффективным. Как видно, угроза может исходить откуда угодно и вряд ли .gov стоит считать заведомо безопаснее .com и пр.
2. считается, что с каждым годом 0day-уязвимостей обнаруживается все меньше. Однако эта статистика может быть очень обманчивой. Почему не предположить, что атаки просто стали лучше скрывать? А тенденцию к этому отмечают фактически все эксперты.
3. вероятно, корпоративное правило «не трогать то, что работает» требует пересмотра. Описанная атака эффективна только в Internet Explorer 8 на Windows XP. Оба продукта по меркам ИТ – сильно устаревшие. Современные версии более безопасны и ломаются гораздо сложнее.
4. поскольку застраховаться от подобных атак в принципе невозможно, нужны какие-то инструменты перманентного контроля, которые помогали бы оперативно реагировать, пусть и на косвенные признаки. Вопрос: что это может быть?