حمله چاله و گودال آب (Watering Hole Attack) چیست و چگونه عمل می کند؟ چگونه از خود در مقابل حملات چاله آبی محافظت کنیم؟
حمله چاله آبی زمانی است که مجرمان سایبری وبسایتی را آلوده میکنند که میدانند قربانیان مورد نظرشان از آن بازدید خواهند کرد.
حمله چاله آبی (Watering Hole Attack) چیست؟
چه در مورد امنیت سایبری صحبت کنید و چه از جنگل، یک حمله چاله آب زمانی است که عوامل تهدید به اهداف خود در جایی که تجمع می کنند حمله می کنند. در حیات وحش، آبخوری یک فرورفتگی طبیعی آب است که حیوانات تشنه برای نوشیدن می آیند.
به دلیل درجه حفاظت پایین، آنها طعمه آسان تری برای شکارچیانی مانند شیرها هستند. این مفهوم مشابهی در امنیت سایبری است، با این تفاوت که به جای گربههای بزرگ و غزالها، هکر ها کاربران رایانه را در وب تعقیب میکنند.
- مقاله مرتبط: آشنایی با انواع حملات سایبری + نحوه مقابله [54 حمله]
حملات چاله آبی چگونه کار می کنند؟
حمله چاله آبی زمانی است که مجرمان سایبری با استفاده از مهارتهایی مانند هک و مهندسی اجتماعی به افراد، گروهها یا سازمانها در وبسایتی که به آنها مراجعه میکنند حمله میکنند. از طرف دیگر، مهاجم میتواند قربانی(ها) را به وبسایتی که ایجاد میکند فریب دهد. حمله گودال آب نیاز به اجرای دقیق در هر چهار مرحله زیر دارند:
1. جمع آوری اطلاعات
عامل تهدید با ردیابی عادات وبگردی هدف خود اطلاعات جمع آوری می کند. ابزارهای رایج برای جمعآوری اطلاعات شامل موتورهای جستجو، صفحات رسانههای اجتماعی، دادههای جمعیتی وبسایت، مهندسی اجتماعی، نرم افزارهای جاسوسی و کی لاگر ها هستند. گاهی اوقات، دانش عمومی کمک بزرگی است. در پایان این مرحله، مجرمان سایبری فهرست کوتاهی از اهداف را برای استفاده در یک حمله سایبری در اختیار دارند.
2. تجزیه و تحلیل
در این مرحله از حمله گودال آب، مجرمان سایبری لیست وب سایت ها را برای نقاط ضعف دامنه و زیر دامنه ای که می توانند از آنها سوء استفاده کنند، تجزیه و تحلیل می کنند. از طرف دیگر، مهاجمان ممکن است یک شبیه سازی وب سایت مخرب ایجاد کنند. گاهی اوقات آنها هر دو را انجام می دهند. یک وب سایت قانونی را به خطر می اندازند تا اهداف را به یک وب سایت جعلی هدایت کنند.
3. آماده سازی
هکرها برای آلوده کردن اهداف خود، اکسپلویت های تحت وب را به وب سایت مورد نظر تزریق می کنند. چنین کدهایی ممکن است از فناوری های وب مانند ActiveX، HTML، جاوا اسکریپت، تصاویر و موارد دیگر برای به خطر انداختن مرورگرها سوء استفاده کند. برای حمله گودال آب هدفمندتر، عوامل تهدید ممکن است از کیت های بهره برداری استفاده کنند که به آنها اجازه می دهد بازدیدکنندگان را با آدرس های IP خاص آلوده کنند. این کیت های بهره برداری به ویژه هنگام تمرکز بر یک سازمان مفید هستند.
4. اجرا
با آماده شدن سوراخ آبی، مهاجمان منتظر می مانند تا بدافزار کار خود را انجام دهد. اگر همه چیز خوب پیش برود، مرورگرهای هدف نرم افزار مخرب را از وب سایت دانلود و اجرا می کنند. مرورگرهای وب میتوانند در برابر سوء استفادههای تحت وب آسیبپذیر باشند، زیرا معمولاً کد را از وبسایتها به رایانهها و دستگاههای محلی دانلود میکنند.
هکرها از چه تکنیک هایی در حمله گودال آب (Watering Hole) استفاده می کنند؟
اسکریپت بین سایتی (XSS): با این حمله تزریقی، یک هکر می تواند اسکریپت های مخرب را در محتوای سایت وارد کند تا کاربران را به وب سایت های مخرب هدایت کند.
SQL Injection: هکرها می توانند از حملات تزریق SQL برای سرقت داده ها استفاده کنند.
مسمومیت کش DNS: همچنین به عنوان جعل DNS شناخته می شود، هکرها از این تکنیک دستکاری برای ارسال اهداف به صفحات مخرب استفاده می کنند.
بارگیریهای Drive-by: اهدافی که در یک حمله چاله آب قرار دارند ممکن است محتوای مخرب را بدون اطلاع، رضایت یا اقدام خود در یک بارگیری درایو دانلود کنند.
بدافزاری: هکرها کدهای مخرب را در تبلیغات در یک حمله چاله آب تزریق می کنند تا بدافزار را به طعمه خود گسترش دهند.
بهرهبرداری روز صفر: عوامل تهدید میتوانند از آسیب پذیری های روز صفر در یک وبسایت یا مرورگر استفاده کنند که مهاجمان میتوانند از آن استفاده کنند.
نمونه های حمله چاله آبی (Watering Hole)
2012: هکرها وب سایت شورای روابط خارجی آمریکا (CFR) را از طریق یک سوء استفاده از اینترنت اکسپلورر آلوده کردند. جالب اینجاست که این سوراخ فقط به مرورگرهای اینترنت اکسپلورر که از زبانهای خاصی استفاده میکردند، برخورد کرد.
2013: یک حمله بدافزار تحت حمایت دولت به سیستمهای کنترل صنعتی (ICS) در ایالات متحده و اروپا حمله کرد و بخشهای دفاع، انرژی، هوانوردی، داروسازی و پتروشیمی را هدف قرار داد.
2013: هکرها اطلاعات کاربران را با استفاده از وب سایت وزارت کار ایالات متحده به عنوان چاله جمع آوری کردند.
2016: محققان یک کیت بهره برداری سفارشی پیدا کردند که سازمان ها را در بیش از 31 کشور از جمله لهستان، ایالات متحده و مکزیک هدف قرار می دهد. منبع این حمله ممکن است سرور وب سازمان نظارت مالی لهستان بوده باشد.
2016: سازمان بین المللی هوانوردی مدنی مستقر در مونترال (ایکائو) دروازهای برای تقریباً تمام خطوط هوایی، فرودگاه ها و آژانس های هواپیمایی ملی است. با خراب کردن دو سرور ICAO، یک هکر بدافزار را به وبسایتهای دیگر پخش کرد و اطلاعات حساس ۲۰۰۰ کاربر و کارمندان را آسیبپذیر کرد.
2017: بدافزار NotPetya به شبکههای سراسر اوکراین نفوذ کرد و بازدیدکنندگان وبسایت را آلوده کرد و اطلاعات هارد دیسک آنها را حذف کرد.
2018: محققان یک کمپین حمله چاله آب به نام OceanLotus پیدا کردند. این حمله به وب سایت های دولتی کامبوج و سایت های رسانهای ویتنامی حمله کرد.
2019: مجرمان سایبری از یک پاپ آپ مخرب Adobe Flash برای راه اندازی یک حمله بارگیری درایو به تقریباً ده ها وب سایت استفاده کردند. این حمله که آب مقدس نامیده می شود، وب سایت های مذهبی، خیریه و داوطلبانه را مورد هدف قرار داد.
2020: شرکت فناوری اطلاعات آمریکایی SolarWinds هدف حمله ای قرار گرفت که کشف آن ماه ها طول کشید. ماموران تحت حمایت دولت از این حمله برای جاسوسی از شرکت های امنیت سایبری، وزارت خزانه داری، امنیت داخلی و غیره استفاده کردند.
2021: گروه تحلیل تهدیدات گوگل (TAG) حملات گسترده ای را یافت که بازدیدکنندگان رسانه ها و وب سایت های طرفدار دموکراسی را در هنگ کنگ هدف قرار می دادند. این بدافزار یک درب پشتی را روی افرادی که از دستگاه های اپل استفاده می کنند نصب می کند.
اکنون: حملات چاله آبی یک تهدید دائمی پیشرفته (APT) علیه انواع مشاغل در سراسر جهان است. متأسفانه، هکرها کسبوکارهای خردهفروشی، شرکتهای املاک و مستغلات، و سایر مؤسسات را هدف قرار میدهند.
حملات چاله آبی در مقابل حملات زنجیره تامین
اگرچه حملات سوراخ آبی و حملات زنجیره تامین ممکن است مشابه باشند، اما همیشه یکسان نیستند. حمله زنجیره تامین بدافزار را از طریق ضعیفترین عنصر در شبکه یک سازمان، مانند تامینکننده، فروشنده یا شریک، ارائه میکند. برای مثال، پنج شرکت خارجی ممکن است ناخواسته به عنوان بیمار صفر در حمله استاکسنت به رایانههای دارای شکاف هوایی ایران عمل کرده باشند. حمله زنجیره تامین همچنین ممکن است از یک وب سایت در معرض خطر به عنوان چاله استفاده کند، اما این ضروری نیست.
نحوه محافظت در برابر حملات چاله آب
برای مصرفکنندگان، روشهای خوب امنیت سایبری مانند دقت در جایی که وب را مرور میکنید و کلیک میکنید، استفاده از یک برنامه آنتیویروس خوب، و استفاده از محافظت از مرورگر مانند Malwarebytes Browser Guard در مجموع راه خوبی برای جلوگیری از حمله چاله آب است. Browser Guard با مسدود کردن صفحات وب حاوی بدافزار به شما امکان می دهد با ایمنی بیشتری مرورگر را انجام دهید.
برای کسبوکارها، بهترین روشها برای محافظت در برابر حمله سوراخ آبی (Watering Hole) عبارتند از:
- از نرم افزار تجزیه و تحلیل بدافزار پیشرفته استفاده کنید که از یادگیری ماشینی برای تشخیص رفتار مخرب در وب سایت ها و ایمیل ها استفاده می کند.
- راه حل امنیتی خود را به طور مرتب آزمایش کنید و ترافیک اینترنت خود را برای فعالیت مشکوک کنترل کنید.
- آموزش کاربران و کارکنان در مورد استراتژی های کاهش حمله چاله آبی. (پیشنهاد ویژه: دوره امنیت وب سایت)
- از آخرین سیستم عامل و وصله های امنیتی مرورگر برای کاهش خطر سوء استفاده استفاده کنید.
- برای امنیت بهتر، به جای مرورگرهای محلی، مرورگرهای ابری را امتحان کنید.
- مجوزهای حسابرسی که به وب سایت ها داده می شود.
- از ابزارهای تشخیص و پاسخ نقطه پایانی برای ویندوز و مک استفاده کنید تا از نقاط پایانی سازمان خود در برابر تهدیدات بدافزارهای نوظهور محافظت کنید.
- از منابع مربوط به امنیت سایبری برای کسب اطلاعات بیشتر در مورد تهدیدهایی که هکرها برای حملات سایبری استفاده می کنند، استفاده کنید.
اگر برای حل مشکل امنیت سایت خود نیاز به کمک فنی دارید، با ما در ارتباط باشید!