Видео: Настя и сборник весёлых историй (Ноябрь 2024)
Кампании «Водопой» в последнее время становятся все более заметными, и исследователи выявляют новые инциденты почти каждый день. Атака, скомпрометировавшая несколько компьютеров в Facebook, Twitter, Apple и Microsoft в прошлом месяце, похоже, повлияла и на другие компании.
В прошлом месяце Facebook сообщил, что некоторые из его разработчиков были заражены трояном Mac после посещения взломанного форума разработчиков мобильных устройств. В то время компания указала, что многие другие компании также пострадали. Похоже, что злоумышленники заразили сотрудников «целого ряда целевых фирм в разных отраслях промышленности», как обнаружил журнал безопасности на этой неделе. В список пострадавших организаций вошли известные производители автомобилей, правительственные учреждения США и «даже ведущий производитель конфет», согласно отчету.
«Широкий спектр типов услуг и целевых объектов не отражает целенаправленную атаку на какой-либо технологический или отраслевой сектор», - заявил Джо Салливан, руководитель службы безопасности Facebook, The Security Ledger .
Что такое водопой?
По сообщениям The Security Ledger, злоумышленники похитили два других сайта разработки мобильных приложений, один из которых предназначен для разработчиков Android, в дополнение к форуму разработчиков iPhone, который запустил разработчиков Facebook. По словам источников, знакомых с расследованием, в этой широкой кампании также использовались другие веб-сайты - не только разработчик мобильных приложений или другие виды разработки программного обеспечения.
При атаке через «дыру в воде» злоумышленники компрометируют веб-сайт и манипулируют им, чтобы распространять вредоносное ПО для посетителей сайта. Однако мотивы злоумышленников в такого рода атаках отличаются от хакерских сайтов как форма протеста или намерения украсть информацию или деньги. Вместо этого эти злоумышленники используют небезопасные сайты и приложения, чтобы ориентироваться на класс пользователей, которые могут посетить этот конкретный сайт. В случае с сайтом Совета по международным отношениям еще в декабре, злоумышленники, вероятно, преследовали политиков и других, кто занимается внешней политикой. Разработчики мобильных устройств, скорее всего, посетят форум разработчиков, и этот список можно продолжить.
Взломанный или атакованный?
Похоже, что операции с водопоями являются атаками, и каждый день появляются новые сообщения о сайтах. Вчера Websense Security Labs обнаружили, что связанные с израильским правительством сайты ict.org.il и herzliyaconference.org были взломаны для использования эксплойта Internet Explorer. По словам Уэбсенса, атака загрузила файл дроппера Windows и открыла постоянный бэкдор для связи с сервером управления и контроля. Лаборатории предполагают, что пользователи были заражены уже 23 января.
Компания обнаружила улики, намекающие на то, что та же группа «Элдервуда», стоящая за атакой Совета по международным отношениям, также стояла за этой кампанией.
Исследователи Invincea обнаружили, что National Journal, публикация для политических инсайдеров в Вашингтоне, округ Колумбия, на этой неделе предлагает варианты руткита и поддельного антивируса ZeroAccess. Время атаки немного удивляет, потому что журнал обнаружил вредоносное ПО на своем сайте еще в феврале и только что обезопасил сайт и очистил его. Последняя атака использовала две известные уязвимости Java и направила посетителей на сайт, содержащий набор эксплойтов Fiesta / NeoSploit.
Почему происходят эти атаки?
По словам Рича Могулла, аналитика и генерального директора Securosis, разработчики являются «обычно мягкими целями», поскольку имеют широкий доступ к внутренним ресурсам и часто имеют права администратора (или привилегии высокого уровня) на своих компьютерах. Разработчики проводят много времени на различных сайтах разработчиков и могут принимать участие в обсуждениях на форуме. Многие из этих форумов не имеют наилучшей защиты и уязвимы для компрометации.
Независимо от того, запускает ли злоумышленник целевую атаку или по-прежнему полагается на широкую кампанию, чтобы собрать как можно больше жертв, преступники «преследуют сотрудника, если вы хотите получить доступ к предприятию», - написал Ануп Гош, генеральный директор и основатель Invincea., Несмотря на то, что злоумышленники, возможно, использовали широкую сеть и не предназначались специально для одного типа пользователей, преступники выбрали эти сайты по определенной причине. Правительственные сайты, публикации и форумы разработчиков являются сайтами с большим трафиком, предоставляя злоумышленникам широкий круг потенциальных жертв.
После того, как злоумышленники получат список жертв, они смогут определить наиболее ценных жертв и подготовить следующий раунд атак, который может включать в себя дополнительную социальную инженерию или указание резидентному вредоносному ПО загрузить дополнительные вредоносные программы.
С точки зрения пользователя, это просто подчеркивает важность поддержания ваших инструментов безопасности, программного обеспечения и операционной системы в актуальном состоянии с последними обновлениями. Злоумышленники не просто используют нулевые дни; многие атаки на самом деле основаны на старых, известных уязвимостях, потому что люди просто не обновляются регулярно. Если ваша работа требует от вас доступа к сайтам, использующим Java, выделите специальный браузер для этих сайтов и отключите Java в браузере по умолчанию для доступа к остальной части Интернета.
Будь осторожен там.