Il watering hole è una tecnica impiegata dai criminali informatici per colpire un predeterminato gruppo di utenti finali infettando semplicemente i siti web che questi visitano usualmente.
Infatti il termine di attacco watering hole si ispira proprio ai predatori in natura che si aggirano vicino alle pozze d’acqua, aspettando l’opportunità di attaccare una potenziale preda: l’attaccante (predatore) si apposta su specifici siti web di interesse comune al target (preda), cercando l’opportunità di comprometterli sfruttando delle vulnerabilità.
In questo modo non è più l’attaccante che tenta di attirare l’attenzione della vittima ad esempio inviando messaggi di phishing o malspam ma è la stessa vittima che si avvicina al sito web infetto.
Anche se gli attacchi Watering Hole non risultano molto diffusi rispetto ad altri, rappresentano comunque una reale minaccia difficile da rilevare che può colpire tipicamente grandi aziende, i loro dipendenti, partner commerciali e fornitori terzi.
Gli scopi anche in questo caso includono il furto di credenziali bancarie, proprietà intellettuali, ma anche l’accesso abusivo a sistemi informativi critici.
Compromettendo siti web legittimi e utilizzando spesso exploit zero-day il tasso di successo di un attacco watering hole risulta davvero elevato.
Anatomia di un attacco
Un attacco inizia sempre con lo studio di un gruppo di utenti scelto e della loro attività online (forum, chat pubbliche, conferenze online). Gli attaccanti tracciano così il profilo dei loro obiettivi per settore. Questo studio consente di determinare così il tipo di siti web spesso visitati dai dipendenti o dai membri dell’entità monitorata. L’aggressore cerca quindi delle vulnerabilità in questi siti web e crea un exploit per comprometterli e infettarli. In genere, si introducono malware di tipo RAT che permettono all’attaccante di accedere da remoto al sito web colpito e di reindirizzare i visitatori verso un server terzo per iniziare o proseguire le attività malevole.
Accorgimenti di prevenzione
Riconoscere un attacco di watering hole non è cosa semplice proprio perché gli autori sfruttano le risorse legittime come strumenti malevoli (avvelenamento delle query dei motori di ricerca, malware su siti di file hosting sharing affidabili etc.). Pertanto sia per gli utenti che per gli erogatori di servizi online resta fondamentale la prevenzione, mantenendo rispettivamente sotto controllo la sicurezza dei propri dispositivi e dei propri siti web evitando per questi ultimi di diventare essi stessi delle water hole.
Ecco alcune raccomandazioni:
- implementare soluzioni di monitoraggio delle vulnerabilità dei siti web.;
- scansionare e monitorare costantemente il traffico web;
- aggiornare costantemente i sistemi con gli ultimi software e patch offerti dai fornitori;
- diffondere sempre più la cultura della sicurezza informatica tra i clienti e dipendenti.
