In un attacco watering hole, siti web ben noti vengono deliberatamente manipolati. I visitatori devono essere indotti a cliccare sui link contenuti nelle pagine. In questo modo, l'avversario può infettare il sistema dell'obiettivo con codice maligno.
Il nome attacco watering-hole deriva dal comportamento di alcuni predatori in natura: Gli animali si nascondono spesso vicino alle pozze d'acqua e aspettano che la loro preda appaia per bere. Applicato al settore IT, questo significa che gli aggressori si appostano su siti web che sono popolari e frequentemente visitati dalle vittime e aspettano che la "preda" risponda alla loro esca (link modificati o incorporati o codice maligno diretto). Questo permette ai sistemi di destinazione di essere infettati da malware, che successivamente dà agli attaccanti l'accesso ai computer delle vittime. Le possibilità di successo degli attacchi watering hole sono così alte perché i siti web attaccati sono presenze online affidabili e legittime che di solito non sono nelle liste negative dei programmi antivirus.
Attacchi deliberati su gruppi specifici di vittime
Come funziona esattamente un attacco watering hole?
Gli attacchi watering hole di solito seguono uno schema fisso:
- Determinando gli obiettivi in base al settore, al gruppo di dipendenti, ecc.
- Identificare i siti web rilevanti che sono frequentemente visitati dagli obiettivi.
- Cercare le vulnerabilità sui siti web in questione.
- Inserire il codice maligno o i link a siti esterni infiltrati.
- Rilasciare il malware sui dispositivi di destinazione.
- Skimming delle informazioni desiderate.
Obiettivi degli attacchi watering hole
Gli obiettivi degli attacchi watering hole non includono solo il furto di dati sensibili degli account o altre informazioni personali interessanti. Piuttosto, questi cyber-attacchi riguardano più il trafugamento di dati economici per essere utilizzati da aziende concorrenti. È anche possibile spiare documenti governativi segreti o distruggere deliberatamente sistemi informatici sensibili. Le lotte per il brevetto di un farmaco possono quindi essere un esempio di attacchi all'acquario tanto quanto un tentativo di tagliare temporaneamente le forniture a certe regioni manipolando un blackout elettrico. Gli obiettivi includono non solo i dirigenti di grandi aziende, ma anche organizzazioni di sicurezza o altre agenzie governative.