حمله چاله و گودال آب (Watering Hole Attack)

حمله چاله و گودال آب (Watering Hole Attack) چیست و چگونه عمل می کند؟ چگونه از خود در مقابل حملات چاله آبی محافظت کنیم؟

حمله چاله آبی زمانی است که مجرمان سایبری وب‌سایتی را آلوده می‌کنند که می‌دانند قربانیان مورد نظرشان از آن بازدید خواهند کرد.

حمله چاله آبی (Watering Hole Attack) چیست؟

چه در مورد امنیت سایبری صحبت کنید و چه از جنگل، یک حمله چاله آب زمانی است که عوامل تهدید به اهداف خود در جایی که تجمع می کنند حمله می کنند. در حیات وحش، آبخوری یک فرورفتگی طبیعی آب است که حیوانات تشنه برای نوشیدن می آیند.

به دلیل درجه حفاظت پایین، آنها طعمه آسان تری برای شکارچیانی مانند شیرها هستند. این مفهوم مشابهی در امنیت سایبری است، با این تفاوت که به جای گربه‌های بزرگ و غزال‌ها، هکر ها کاربران رایانه را در وب تعقیب می‌کنند.

• مقاله مرتبط: آشنایی با انواع حملات سایبری + نحوه مقابله [54 حمله]

حملات چاله آبی چگونه کار می کنند؟

حمله چاله آبی زمانی است که مجرمان سایبری با استفاده از مهارت‌هایی مانند هک و مهندسی اجتماعی به افراد، گروه‌ها یا سازمان‌ها در وب‌سایتی که به آنها مراجعه می‌کنند حمله می‌کنند. از طرف دیگر، مهاجم می‌تواند قربانی(ها) را به وب‌سایتی که ایجاد می‌کند فریب دهد. حمله گودال آب نیاز به اجرای دقیق در هر چهار مرحله زیر دارند:

1. جمع آوری اطلاعات

عامل تهدید با ردیابی عادات وبگردی هدف خود اطلاعات جمع آوری می کند. ابزارهای رایج برای جمع‌آوری اطلاعات شامل موتورهای جستجو، صفحات رسانه‌های اجتماعی، داده‌های جمعیتی وب‌سایت، مهندسی اجتماعی، نرم‌ افزارهای جاسوسی و کی لاگر ها هستند. گاهی اوقات، دانش عمومی کمک بزرگی است. در پایان این مرحله، مجرمان سایبری فهرست کوتاهی از اهداف را برای استفاده در یک حمله سایبری در اختیار دارند.

2. تجزیه و تحلیل

در این مرحله از حمله گودال آب، مجرمان سایبری لیست وب سایت ها را برای نقاط ضعف دامنه و زیر دامنه ای که می توانند از آنها سوء استفاده کنند، تجزیه و تحلیل می کنند. از طرف دیگر، مهاجمان ممکن است یک شبیه سازی وب سایت مخرب ایجاد کنند. گاهی اوقات آنها هر دو را انجام می دهند. یک وب سایت قانونی را به خطر می اندازند تا اهداف را به یک وب سایت جعلی هدایت کنند.

3. آماده سازی

هکرها برای آلوده کردن اهداف خود، اکسپلویت های تحت وب را به وب سایت مورد نظر تزریق می کنند. چنین کدهایی ممکن است از فناوری های وب مانند ActiveX، HTML، جاوا اسکریپت، تصاویر و موارد دیگر برای به خطر انداختن مرورگرها سوء استفاده کند. برای حمله گودال آب هدفمندتر، عوامل تهدید ممکن است از کیت های بهره برداری استفاده کنند که به آنها اجازه می دهد بازدیدکنندگان را با آدرس های IP خاص آلوده کنند. این کیت های بهره برداری به ویژه هنگام تمرکز بر یک سازمان مفید هستند.

4. اجرا

با آماده شدن سوراخ آبی، مهاجمان منتظر می مانند تا بدافزار کار خود را انجام دهد. اگر همه چیز خوب پیش برود، مرورگرهای هدف نرم افزار مخرب را از وب سایت دانلود و اجرا می کنند. مرورگرهای وب می‌توانند در برابر سوء استفاده‌های تحت وب آسیب‌پذیر باشند، زیرا معمولاً کد را از وب‌سایت‌ها به رایانه‌ها و دستگاه‌های محلی دانلود می‌کنند.

هکرها از چه تکنیک هایی در حمله گودال آب (Watering Hole) استفاده می کنند؟

اسکریپت بین سایتی (XSS): با این حمله تزریقی، یک هکر می تواند اسکریپت های مخرب را در محتوای سایت وارد کند تا کاربران را به وب سایت های مخرب هدایت کند.

SQL Injection: هکرها می توانند از حملات تزریق SQL برای سرقت داده ها استفاده کنند.

مسمومیت کش DNS: همچنین به عنوان جعل DNS شناخته می شود، هکرها از این تکنیک دستکاری برای ارسال اهداف به صفحات مخرب استفاده می کنند.

بارگیری‌های Drive-by: اهدافی که در یک حمله چاله آب قرار دارند ممکن است محتوای مخرب را بدون اطلاع، رضایت یا اقدام خود در یک بارگیری درایو دانلود کنند.

بدافزاری: هکرها کدهای مخرب را در تبلیغات در یک حمله چاله آب تزریق می کنند تا بدافزار را به طعمه خود گسترش دهند.

بهره‌برداری روز صفر: عوامل تهدید می‌توانند از آسیب‌ پذیری‌ های روز صفر در یک وب‌سایت یا مرورگر استفاده کنند که مهاجمان می‌توانند از آن استفاده کنند.

نمونه های حمله چاله آبی (Watering Hole)

2012: هکرها وب سایت شورای روابط خارجی آمریکا (CFR) را از طریق یک سوء استفاده از اینترنت اکسپلورر آلوده کردند. جالب اینجاست که این سوراخ فقط به مرورگرهای اینترنت اکسپلورر که از زبان‌های خاصی استفاده می‌کردند، برخورد کرد.

2013: یک حمله بدافزار تحت حمایت دولت به سیستم‌های کنترل صنعتی (ICS) در ایالات متحده و اروپا حمله کرد و بخش‌های دفاع، انرژی، هوانوردی، داروسازی و پتروشیمی را هدف قرار داد.

2013: هکرها اطلاعات کاربران را با استفاده از وب سایت وزارت کار ایالات متحده به عنوان چاله جمع آوری کردند.

2016: محققان یک کیت بهره برداری سفارشی پیدا کردند که سازمان ها را در بیش از 31 کشور از جمله لهستان، ایالات متحده و مکزیک هدف قرار می دهد. منبع این حمله ممکن است سرور وب سازمان نظارت مالی لهستان بوده باشد.

2016: سازمان بین المللی هوانوردی مدنی مستقر در مونترال (ایکائو) دروازه‌ای برای تقریباً تمام خطوط هوایی، فرودگاه ها و آژانس های هواپیمایی ملی است. با خراب کردن دو سرور ICAO، یک هکر بدافزار را به وب‌سایت‌های دیگر پخش کرد و اطلاعات حساس ۲۰۰۰ کاربر و کارمندان را آسیب‌پذیر کرد.

2017: بدافزار NotPetya به شبکه‌های سراسر اوکراین نفوذ کرد و بازدیدکنندگان وب‌سایت را آلوده کرد و اطلاعات هارد دیسک آنها را حذف کرد.

2018: محققان یک کمپین حمله چاله آب به نام OceanLotus پیدا کردند. این حمله به وب سایت های دولتی کامبوج و سایت های رسانه‌ای ویتنامی حمله کرد.

2019: مجرمان سایبری از یک پاپ آپ مخرب Adobe Flash برای راه اندازی یک حمله بارگیری درایو به تقریباً ده ها وب سایت استفاده کردند. این حمله که آب مقدس نامیده می شود، وب سایت های مذهبی، خیریه و داوطلبانه را مورد هدف قرار داد.

2020: شرکت فناوری اطلاعات آمریکایی SolarWinds هدف حمله ای قرار گرفت که کشف آن ماه ها طول کشید. ماموران تحت حمایت دولت از این حمله برای جاسوسی از شرکت های امنیت سایبری، وزارت خزانه داری، امنیت داخلی و غیره استفاده کردند.

2021: گروه تحلیل تهدیدات گوگل (TAG) حملات گسترده ای را یافت که بازدیدکنندگان رسانه ها و وب سایت های طرفدار دموکراسی را در هنگ کنگ هدف قرار می دادند. این بدافزار یک درب پشتی را روی افرادی که از دستگاه های اپل استفاده می کنند نصب می کند.

اکنون: حملات چاله آبی یک تهدید دائمی پیشرفته (APT) علیه انواع مشاغل در سراسر جهان است. متأسفانه، هکرها کسب‌وکارهای خرده‌فروشی، شرکت‌های املاک و مستغلات، و سایر مؤسسات را هدف قرار می‌دهند.

حملات چاله آبی در مقابل حملات زنجیره تامین

اگرچه حملات سوراخ آبی و حملات زنجیره تامین ممکن است مشابه باشند، اما همیشه یکسان نیستند. حمله زنجیره تامین بدافزار را از طریق ضعیف‌ترین عنصر در شبکه یک سازمان، مانند تامین‌کننده، فروشنده یا شریک، ارائه می‌کند. برای مثال، پنج شرکت خارجی ممکن است ناخواسته به عنوان بیمار صفر در حمله استاکس‌نت به رایانه‌های دارای شکاف هوایی ایران عمل کرده باشند. حمله زنجیره تامین همچنین ممکن است از یک وب سایت در معرض خطر به عنوان چاله استفاده کند، اما این ضروری نیست.

نحوه محافظت در برابر حملات چاله آب

برای مصرف‌کنندگان، روش‌های خوب امنیت سایبری مانند دقت در جایی که وب را مرور می‌کنید و کلیک می‌کنید، استفاده از یک برنامه آنتی‌ویروس خوب، و استفاده از محافظت از مرورگر مانند Malwarebytes Browser Guard در مجموع راه خوبی برای جلوگیری از حمله چاله آب است. Browser Guard با مسدود کردن صفحات وب حاوی بدافزار به شما امکان می دهد با ایمنی بیشتری مرورگر را انجام دهید.

برای کسب‌وکارها، بهترین روش‌ها برای محافظت در برابر حمله سوراخ‌ آبی (Watering Hole) عبارتند از:

• از نرم افزار تجزیه و تحلیل بدافزار پیشرفته استفاده کنید که از یادگیری ماشینی برای تشخیص رفتار مخرب در وب سایت ها و ایمیل ها استفاده می کند.
• راه حل امنیتی خود را به طور مرتب آزمایش کنید و ترافیک اینترنت خود را برای فعالیت مشکوک کنترل کنید.
• آموزش کاربران و کارکنان در مورد استراتژی های کاهش حمله چاله آبی. (پیشنهاد ویژه: دوره امنیت وب سایت)
• از آخرین سیستم عامل و وصله های امنیتی مرورگر برای کاهش خطر سوء استفاده استفاده کنید.
• برای امنیت بهتر، به جای مرورگرهای محلی، مرورگرهای ابری را امتحان کنید.
• مجوزهای حسابرسی که به وب سایت ها داده می شود.
• از ابزارهای تشخیص و پاسخ نقطه پایانی برای ویندوز و مک استفاده کنید تا از نقاط پایانی سازمان خود در برابر تهدیدات بدافزارهای نوظهور محافظت کنید.
• از منابع مربوط به امنیت سایبری برای کسب اطلاعات بیشتر در مورد تهدیدهایی که هکرها برای حملات سایبری استفاده می کنند، استفاده کنید.

اگر برای حل مشکل امنیت سایت خود نیاز به کمک فنی دارید، با ما در ارتباط باشید!