Explicando en que consiste el Watering Hole

0

Watering Hole o abrevadero

Las campañas “Watering Hole” (abrevadero) son más frecuentes últimamente, con los investigadores indentificando nuevos incidentes casi a diario. El ataque que comprometió diversos ordenadores en Facebook, Twitter, Apple y Microsoft hace escasos meses parece haber repercutido sobre algunas otras compañías.

Facebook informó recientemente que varios de sus desarrolladores habían sido infectados con un troyano de Mac después de haber visitado un foro de desarrollo de aplicaciones móviles. Al mismo tiempo, la compañía indicó que otras muchas empresas también estaban afectadas. Parece ser que los atacantes infectaron una gran cantidad de computadores personales de empleados a lo largo de un gran número de firmas. La lista de empresas afectadas incluye importantes marcas de producción de vehículos, agencias gubernamentales de EEUU e incluso una gran empresa de producción de dulces.

“La amplitud de servicios y entidades afectadas no refleja un ataque dirigido hacia un sector o industria concretos” firma Joe Sullivan, jefe de seguridad de Facebook.

¿Qué es un Watering Hole?

Los atacantes han vulnerado otros 2 sites de desarrollo de apps móviles -uno dedicado a desarrolladores de Android- además del foro relacionado con desarrollo de iPhone que hemos comentado. otros sitios web -aparte de los relacionados con el desarrollo de apps- también han sido usados en esta amplia campaña, de acuerdo a las informaciones publicadas por investigadores.

En un ataque tipo watering hole, los atacantes comprometen y manipulan un sitio web para que “reparta” malware a los visitantes. Sin embargo, las motivaciones de este tipo de ataques son diferentes de aquellos que hackean webs como forma de protesta o intento de robar información o dinero. En su lugar, estos ataques toman ventaja sobre sitios web vulnerables y sus aplicaciones para atacar una clase de usuarios concretos que visitan ese sitio web particular. En el caso del Consejo de Relaciones Internacionales que sufrió un ataque similar en Diciembre, los atacantes andaban detrás de cargos políticos y eran personas que tenían algún interés en política. Los desarrolladores del entorno Mobile probablemente visitarán sitios web relacionados con su activdad, y la lista continúa.

¿Hackeado o víctima de un Watering Hole?

Las operaciones de Watering Hole son ataques del día a día, con nuevos informes de sitios afectados a diario. Websense Security Labs descubrió recientemente que los sitios web de Israel ict.org y herzliyaconference.org fueron hackeados mediante un exploit de Internet Explorer. El ataque descargaba un Dropper en Windows, el cual abria una puerta traser -Backdoor- permanente para comunicarse con el Servidor de Comando y Control. 

Se encontraron evidencias que indican que el grupo “Elderwood” -el mismo responsable del ataque hacia el Council on Foreign Relations- está destrás de este ataque.

El National Journal, una publicación de corte político difundida en Washington D.C., parece haber estado sirviendo variantes del rootkit ZeroAccess y falsos antivirus esta misma semana, según indica Invincea researchers. El momento del ataque sorprende, porque el sitio web ya encontró amenazas en su servidor el pasado Febrero y consiguieron securizarlo y limpiarlo.

El último ataque empleó 2 vulnerabilidades conocidas en Java y redirigió a los visitantes a un sitio que almacenaba el Kit Exploit Fiesta/NeoSploit.

¿Por qué ocurre todo esto?

Los desarrolladores son habitualmente blancos apetecibles, ya que tienen acceso a recursos internos y normalmente poseen privilegios de administrador (o más altos de lo normal) en sus PCs. Estas personas invierten mucho tiempo en desarrollo de aplicaciones e intervienen en foros especializados. Muchos de estos sitios carecen de una seguridad apropiada en base a la información que tratan, resultando vulnerables.

Sin importar si el atacante lanza un “ataque dirigido” (filtrado hacia un perfil concreto) o confía en un ataque a gran escala para infectar a tantas víctimas como sea posible, los criminales van a por el empleado para poder acceder a la empresa.

Incluso aunque el atacante esté diseñando un ataque amplio sin categorías específicas de víctimas, los criminales escogen sus sitios web por un motivo. Webs gubernamentales, publicaciones y Foros de desarrollo son todos sitios con mucho tráfico, por lo que habrá un gran espectro de víctimas.

Cuando los atacantes poseen una lista de víctimas, pueden identificar aquellas que son de alto valor y diseñar en base a eso su próxima ronda de ataques, que pueden implicar Ingeniería Social o complementar el malware residente con otro más específico.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR