Um ataque de ponto de água (também chamado de ataque de buraco de água ; em inglês, Watering Hole ) é uma técnica de ataque cibernético que envolve a captura de um site legítimo para infectar as máquinas dos visitantes do domínio considerado o alvo pelo invasor.
Diz-se que essa técnica foi implementada pela primeira vez por um grupo de cibercriminosos chamado gangue Elderwood . Em 2012, ela permitiu que a gangue infectasse mais de 500 empresas em 24 horas. O ataque foi detectado em julho de 2012 pela RSA Security .
O nome do ataque de poços refere-se a um predador (por exemplo, um leão) que, ao invés de atacar sua presa (por exemplo, uma gazela) em seu território, prefere esperá-la em um local onde tenha certeza de que virá (neste caso em um ponto de água onde virá beber).
O ataque é precedido pelo monitoramento do hacker / predador dos hábitos de navegação da vítima / presa (que pode ser uma pessoa ou um conjunto de pessoas que trabalham para uma empresa-alvo).
Às vezes, os pontos de água são fáceis de localizar. Por exemplo, se você deseja atacar um editor de software , pode facilmente garantir que os desenvolvedores dessa empresa visitem sites que oferecem dicas sobre suas ferramentas ou fóruns que lidam com suas atividades.
No site do ponto de água , o cibercriminoso coloca um código (por exemplo, por meio de uma vulnerabilidade do tipo XSS ) que permite explorar uma vulnerabilidade de dia zero que a vítima pode ter em sua máquina. Um exemplo de falha explorada é o cliente Java , que permite que o cavalo de Troia gh0st RAT (Remote AccessTrojan) seja instalado na máquina da vítima, permitindo que o cibercriminoso espie e controle as máquinas infectadas.
Geralmente, este cavalo de Tróia infecta todas as máquinas e servidores da empresa, permitindo que os cibercriminosos tenham acesso a todos os dados informáticos dessas máquinas (contatos, dados bancários, códigos-fonte, projetos atuais, fotos pessoais, etc.), mas também para assumir o controle da máquina para apagar todos os vestígios de acesso fraudulento.
Pode ser o código JavaScript executado quando a página comprometida é carregada.
Um dos princípios de segurança ( ACL ) no nível do roteador ou firewall é bloquear as conexões iniciadas de fora e permitir o tráfego gerado internamente. O acesso a este ponto de água é considerado tráfego legítimo (via portas 80 , 443 ou 53 ) e, portanto, passa despercebido, pois a conexão terá sido iniciada por uma máquina interna. Observe que o uso de métodos de tradução de endereço de rede (incluindo tradução de porta PAT) protege máquinas internas que nunca têm endereços roteáveis ( RFC7535 ), mas compartilham um endereço fornecido por seu fornecedor. 'Acesso à Internet .
Aqui está uma lista dos elementos que podem ser explorados:
A infecção pode ocorrer internamente de várias maneiras, por exemplo:
Atualizações para navegadores da web e Acrobat Reader são necessárias e devem ser feitas, mas essas ações são insuficientes, pois não protegem contra vulnerabilidades de dia zero .
Bloquear o código JavaScript não é uma solução, pois irá degradar a visualização das páginas da web.
As soluções sérias são: