Vidéo: GROSSE ATTAQUE sur une chasse de surface (Novembre 2024)
Les campagnes "watering hole" sont plus visibles ces derniers temps, les chercheurs identifiant de nouveaux incidents presque tous les jours. L'attaque qui a touché plusieurs ordinateurs sur Facebook, Twitter, Apple et Microsoft le mois dernier semble également avoir touché un plus grand nombre de sociétés.
Le mois dernier, Facebook a révélé que certains de ses développeurs avaient été infectés par un cheval de Troie Mac après avoir visité un forum de développeurs mobiles piraté. À l'époque, la société avait indiqué que de nombreuses autres sociétés avaient également été touchées. Il semble que les assaillants ont infecté des employés dans "un large éventail d'entreprises cibles, dans différents secteurs", a découvert le grand livre de la sécurité plus tôt cette semaine. La liste des organisations concernées comprenait d'éminents constructeurs automobiles, des agences gouvernementales américaines et "même un fabricant de bonbons de premier plan", selon le rapport.
"L'éventail des types de services et d'entités ciblés ne reflète pas une attaque ciblée sur un seul secteur technologique ou industriel", a déclaré à The Security Ledger , Joe Sullivan, responsable de la sécurité sur Facebook.
Qu'est-ce qu'un trou d'arrosage?
Les attaquants semblent avoir détourné deux autres sites de développement d'applications mobiles, l'un dédié aux développeurs Android, en plus du forum de développeurs pour iPhone qui a déclenché le développement de Facebook, a rapporté The Security Ledger . D’après des sources proches de l’enquête, d’autres sites Web, pas seulement des développeurs d’applications mobiles ou d’autres types de développement de logiciels, ont également été utilisés dans cette vaste campagne.
Dans le cadre d'une attaque de type «watering hole», les attaquants compromettent et manipulent un site Web pour diffuser des logiciels malveillants aux visiteurs du site. Cependant, les motivations des assaillants dans ce type d’attaque diffèrent de celles des sites de piratage informatique en tant que forme de protestation ou intention de voler des informations ou de l’argent. Au lieu de cela, ces attaquants exploitent des sites et des applications non sécurisés pour cibler la classe d'utilisateurs susceptibles de se rendre sur ce site. Dans le cas du site du Conseil des relations extérieures de décembre dernier, les assaillants étaient probablement après des imbéciles et d'autres responsables de la politique étrangère. Les développeurs mobiles seraient susceptibles de visiter un forum de développeurs, et la liste est longue.
Piraté ou arroser trou d'attaque?
Les opérations de points d’arrosage semblent être des attaques du jour , avec de nouveaux rapports de sites compromis chaque jour. Websense Security Labs a découvert hier que les sites Web ict.org.il et herzliyaconference.org liés au gouvernement israélien avaient été piratés pour servir un exploit Internet Explorer. L’attaque a téléchargé un fichier de dépose sous Windows et ouvert une porte dérobée persistante pour communiquer avec le serveur de commande et contrôle, a déclaré Websense. Les laboratoires ont estimé que les utilisateurs étaient infectés dès le 23 janvier.
La société a trouvé des indices suggérant que le même groupe "Elderwood" à l'origine de l'attaque du Council on Foreign Relations était également à l'origine de cette campagne.
Les chercheurs d'Invincea ont découvert que le National Journal, une publication destinée aux initiés politiques à Washington, servait des variantes du rootkit ZeroAccess et du faux antivirus cette semaine. Le moment de l'attaque est un peu surprenant, car le magazine avait détecté des logiciels malveillants sur son site en février et venait de sécuriser le site et de le nettoyer. La dernière attaque utilisait deux vulnérabilités Java connues et dirigeait les visiteurs vers un site hébergeant le kit d’exploitation Fiesta / NeoSploit.
Pourquoi ces attaques se produisent-elles?
Les développeurs sont des "cibles généralement immuables", car ils disposent d'un accès étendu aux ressources internes et disposent souvent de droits d'administrateur (ou de privilèges élevés) sur leurs propres ordinateurs, selon Rich Mogull, analyste et PDG de Securosis. Les développeurs passent beaucoup de temps sur différents sites de développement et peuvent prendre part aux discussions du forum. Beaucoup de ces sites de forum n'ont pas la meilleure sécurité en place et sont vulnérables aux compromis.
Peu importe si l'attaquant lance une attaque ciblée ou repose toujours sur une campagne généralisée visant à rassembler le plus grand nombre de victimes possible, les criminels "s'en prennent à l'employé si vous souhaitez accéder à l'entreprise", a écrit Anup Ghosh, PDG et fondateur d'Invincea..
Bien que les assaillants aient pu cibler un type d’utilisateur particulier, les criminels ont choisi ces sites pour une raison quelconque. Les sites, les publications et les forums de développeurs du gouvernement sont des sites très fréquentés, offrant aux attaquants un large éventail de victimes potentielles.
Une fois que les assaillants ont une liste de victimes, ils peuvent identifier les victimes les plus importantes et lancer la prochaine série d'attaques, ce qui peut impliquer davantage d'ingénierie sociale ou ordonner au logiciel malveillant résidant de télécharger un autre logiciel malveillant.
Du point de vue de l'utilisateur, cela souligne simplement l'importance de garder vos outils de sécurité, vos logiciels et votre système d'exploitation à jour avec les derniers correctifs. Les attaquants n'utilisent pas seulement zéro jour; beaucoup d'attaques reposent en réalité sur d'anciennes vulnérabilités connues, car les utilisateurs ne se mettent pas à jour régulièrement. Si votre travail nécessite l'accès à des sites utilisant Java, un navigateur dédié à ces sites et la désactivation de Java dans le navigateur par défaut pour accéder au reste du Web.
Soyez prudent là-bas.
