Watering hole : c’est quoi et comment s’en prémunir ?

La cybersécurité est une préoccupation majeure dans tous les secteurs où les ordinateurs font désormais partie de l’environnement de travail.

Cette utilisation généralisée des ordinateurs pour un stockage facile des données a ouvert leurs vulnérabilités à des actions malveillantes qui voudraient voler les données des ordinateurs et des réseaux.

Ils sont invisibles et agissent de manière subtile et sont à peine perceptibles. L’attaque d’un réseau industriel particulier ou d’employés pour voler des données ou causer tout type de dommage au système est appelée attaque par trou d’eau.

Dans ce blog, nous verrons ce qu’est une attaque de type “watering hole”, ses cibles et comment prévenir de telles attaques.

Définition de Watering Hole

Une attaque de type “watering hole” ou “trou d’eau” est un type de cyberattaque dans lequel un attaquant observe les sites web qu’une victime ou un groupe particulier visite régulièrement et infecte ces sites avec des logiciels malveillants.

Une attaque de type “watering hole” a le potentiel d’infecter les membres du groupe de victimes visé.

Le logiciel malveillant utilisé dans les attaques de type “watering hole” collecte généralement les informations personnelles de la cible et les renvoie au serveur C&C exploité par l’attaquant.

Parfois, le logiciel malveillant peut également donner aux attaquants un accès complet aux systèmes des victimes.

Comment cela fonctionne-t-il ?

Le hacker commence par traquer les sites Web fréquemment visités par une victime ou un groupe particulier, puis il infecte les sites Web fréquemment visités avec des logiciels malveillants.

L’attaquant identifie ensuite les vulnérabilités associées aux sites web et injecte du code de programmation malveillant, souvent en JavaScript ou en HTML, dans les publicités, les bannières, etc. affichées sur le site web.

Le code malveillant redirige ensuite les groupes ciblés vers un site de phishing contenant des logiciels malveillants ou des publicités malveillantes.

Lorsque le groupe cible visite ces sites web, un script contenant un logiciel malveillant est automatiquement téléchargé sur les machines des victimes.

Le logiciel malveillant collecte ensuite les informations personnelles des victimes et les renvoie au serveur C&C exploité par l’attaquant.

Les logiciels malveillants de type phishing et watering hole sont couramment utilisés pour attaquer le groupe de victimes visé. Une fois que les cybercriminels ont compromis un site web, ils attendent patiemment d’avoir des cibles dans leur réseau malveillant.

À qui s’adressent-ils généralement ?

Les cybercriminels qui cherchent à réaliser des profits financiers ciblent les sites Web publics préférés des utilisateurs.

Les groupes les plus touchés par les attaques de type “watering hole” sont les agences gouvernementales, les groupes de défense des droits de l’homme, les autorités publiques et les institutions financières.

En effet, les informations volées à ces cibles peuvent permettre aux attaquants de lancer d’autres attaques.

Si les cybercriminels recherchent bien plus qu’un gain financier, ils ciblent alors les sites Web publics d’entreprises connues. Les attaquants se concentrent sur les vulnérabilités des sites web.

Comprenant ces vulnérabilités, ils infectent le logiciel malveillant et attendent que la cible tombe dans le piège.

À ce jour, ce ne sont pas seulement de grandes entreprises technologiques comme Facebook, Apple et Twitter qui ont été victimes de ces attaques, mais aussi des banques régionales, des groupes militants, des sites de ressources gouvernementales en matière de politique étrangère, des fabricants, la base industrielle de la défense et de nombreuses autres entreprises dans divers secteurs.

Les pirates utilisent les exploits zero-day de Java dans leurs attaques, ainsi que des exploits ciblant les failles d’Adobe Reader et Flash, ou d’Internet Explorer, toutes des plateformes logicielles omniprésentes et multiplateformes.

Quel est l’objectif des cybercriminels ?

L’objectif principal d’une attaque par trou d’eau est d’infecter l’ordinateur d’un utilisateur avec un code malveillant afin d’accéder au réseau sur le lieu de travail de l’utilisateur.

Le navigateur étant conçu pour rechercher et exécuter sans discernement le code du web sur la machine locale, il téléchargera silencieusement les logiciels malveillants du site infecté.

Cela permet aux attaquants de voler les informations d’identification du réseau d’entreprise du visiteur et d’effectuer une attaque latérale au sein de l’organisation de la victime, par exemple en envoyant des courriels d’hameçonnage aux employés qui relèvent de la victime.

Parmi les cibles privilégiées des attaques de type “watering hole” : les responsables de la conformité dans les banques, les sociétés d’investissement et de gestion de patrimoine et autres entreprises de services financiers. Pourquoi se concentrer sur les professionnels de la conformité ?

La raison en est simple. De nombreuses équipes chargées de la conformité ne disposent toujours pas d’une protection adéquate contre les vulnérabilités de sécurité véhiculées par le web lorsqu’elles se connectent à l’internet. Ils effectuent des recherches sur le web dans le cadre de leur routine, lors de vérifications des antécédents, d’enquêtes approfondies ou pour lire les mises à jour réglementaires.

Cela peut entraîner une exposition dangereuse de l’infrastructure informatique de votre organisation. Lorsque les spécialistes de la conformité utilisent un navigateur local, les adversaires peuvent facilement identifier l’organisation source et lancer des attaques de logiciels malveillants et espions contre l’entreprise.

Un autre exemple plus récent d’attaque réussie de type “sinkhole” serait l’œuvre du groupe de menaces APT32, également connu sous le nom d’OceanLotus.

Ce groupe cible spécifiquement les systèmes des secteurs public et privé en Asie de l’Est. L’une de ses cibles était l’ASEAN, l’Association des nations de l’Asie du Sud-Est, qui coordonne les activités économiques, commerciales et géopolitiques de ses États membres en Asie.

OceanLotus a ciblé les employés et les visiteurs de l’ANASE en compromettant le domaine principal asean.org de l’organisation et ses sous-domaines.

Pourquoi les attaques de type “watering hole” sont-elles dangereuses ?

Plutôt que de considérer les attaques aveugles de type “watering hole” comme un remplacement du spear phishing, on peut les voir comme un outil supplémentaire à la disposition des adversaires, ce qui les rend si dangereuses.

Comme tous les outils, le spear phishing et les attaques par trou d’eau ont des forces et des faiblesses spécifiques qui conviennent bien à certaines tâches, tout en les rendant limitées dans d’autres situations.

Comme décrit ci-dessus, les attaques par trou d’eau collectent d’énormes quantités de données que les attaquants devront passer au crible pour trouver des informations utiles, ce qui ralentit leur capacité à entreprendre d’autres actions malveillantes.

Le spear phishing, quant à lui, permet aux attaquants de se concentrer davantage sur des cibles et des informations spécifiques. Une attaque de spear phishing réussie donne un accès immédiat aux systèmes de la cible.

Étant donné la quantité d’informations disponibles sur les organisations et leurs employés sur Internet, les attaquants peuvent facilement identifier les cibles et créer des courriels apparemment authentiques qui fourniront des passerelles vers des systèmes spécifiques et, en fin de compte, des données.

Il est indéniable que les attaques de type “watering hole” ont un impact, mais l’idée qu’elles remplacent le spear phishing est erronée.

Si le rapport 2014 de Symantec sur les menaces en matière de sécurité sur Internet notait une diminution du volume global des e-mails de spear phishing, le nombre de campagnes a augmenté de 91 %. Les hackers ne s’éloignent pas du spear phishing comme méthode d’attaque ; au contraire, ils affinent l’objet de leurs attaques.

Pour lancer un filet plus large visant à compromettre un grand nombre d’utilisateurs, les attaques de type “watering hole” sont une tactique efficace, mais pour une attaque très ciblée visant à obtenir des informations spécifiques, un spear phish bien conçu reste la meilleure arme d’un adversaire.

Comment détecter une attaque de type “watering hole” ?

Voici quelques moyens de détecter les attaques de type “watering hole”.

  • Le fait de disposer de passerelles web permet de disposer d’une couche de détection qui correspond à la signature des sites web. Les organisations utilisent désormais des solutions de lutte contre les logiciels malveillants très avancées pour rechercher les activités malveillantes sur les sites web connus que les employés ou les utilisateurs visitent fréquemment.
  • Les organisations disposent de solutions de sécurité du courrier électronique pour analyser les courriers électroniques reçus. Si des courriels ont des trous d’eau masqués dans leurs identifiants de messagerie, ils seront détectés.
  • Les cybercriminels utilisent généralement Adobe Reader, Flash, Internet Explorer de Microsoft et JRE. Un moyen couramment utilisé par les organisations pour prévenir les attaques de type “watering hole” consiste à désactiver l’accès des utilisateurs aux programmes susmentionnés.
  • Les organisations utilisent des outils de cybersécurité de type “watering hole” pour détecter les domaines “watering hole”.

Comment prévenir les attaques de type “watering hole” ?

La prévention des attaques de type “watering hole”, comme toute attaque hautement ciblée, peut s’avérer difficile.

Toutefois, la combinaison d’une sensibilisation à la sécurité et d’une culture de cybersécurité appropriée au sein de l’organisation, ainsi que la mise en place de contrôles de sécurité, peuvent contribuer à jeter les bases d’une défense organisationnelle efficace.

Voici quelques bonnes pratiques pour éviter les trous d’eau :

Les attaques par trou d’eau sont connues pour exploiter des vulnérabilités connues. La première étape de toute défense de réseau consiste donc à maintenir tous vos systèmes, logiciels et systèmes d’exploitation à la dernière version et à appliquer tous les correctifs proposés par les fournisseurs.

Lorsqu’il s’agit de détecter les menaces de type “zero-day”, investissez dans des outils de sécurité réseau avancés, tels que des solutions qui exploitent l’analyse du trafic réseau et effectuent des inspections de sites Web suspects afin de détecter les attaquants qui tentent de se déplacer latéralement sur le réseau et d’exfiltrer des données.

La confiance zéro peut et doit être appliquée aux attaques de type “watering hole” également. Vérifiez le trafic tiers, qu’il provienne d’un partenaire de confiance ou d’un site web populaire. Une solution de sécurité qui inspecte tout le trafic réseau permettra aux chercheurs en sécurité de déterminer si le trafic provient d’un site web compromis qui est utilisé pour une attaque de type “watering hole”.

Il devrait également y avoir une solution qui inspecte les sites web fréquentés par les utilisateurs de votre organisation.

Veillez à ce que les navigateurs et les outils utilisés par les services de réputation des sites Web signalent aux utilisateurs les sites suspects auxquels ils veulent accéder.

Une mesure simple, mais efficace : l’utilisation d’un service VPN pour masquer le comportement en ligne des personnes au sein de l’organisation peut considérablement affecter les efforts de collecte de renseignements des attaquants et mettre la pression sur leur tentative d’attaque par trou d’eau.

En outre, les organisations peuvent exécuter les sandboxes de navigateur présents dans la plupart des navigateurs courants pour protéger les utilisateurs des effets secondaires de la navigation sur le web, notamment l’accès par inadvertance à des sites web suspects qui peuvent être utilisés dans des attaques de type “watering hole”.

Les passerelles Web constituent un excellent moyen de défendre les organisations contre les téléchargements non autorisés qui correspondent à une signature connue ou à une mauvaise réputation, et peuvent permettre de détecter les attaques opportunistes de type “watering hole”.

Nous avons mentionné que les victimes sont souvent attirées vers des sites Web compromis dans le cadre d’une attaque de type “watering hole” par le biais d’e-mails de spear phishing. Le fait de disposer d’une solution de sécurité des e-mails permettant une analyse avancée des logiciels malveillants au moment de l’envoi des e-mails peut contribuer à protéger les utilisateurs.

Comme nous l’avons vu, les APT sont souvent à l’origine de ces attaques. En appliquant le renseignement sur les menaces et l’analyse des données massives, les organisations peuvent savoir si elles sont attaquées par ces groupes en corrélant les données des activités cybercriminelles dans la nature avec le trafic et les activités qui se produisent sur le propre réseau de l’organisation.

Un petit clic pour évaluer l'article