Будинки Securitywatch Атаки поливальних отворів зачерпують усіх, а не лише розробників у фейсбуці, твіттері

Атаки поливальних отворів зачерпують усіх, а не лише розробників у фейсбуці, твіттері

Відео: Цветет сирень поет Ольга Кондратьева (Листопад 2024)

Відео: Цветет сирень поет Ольга Кондратьева (Листопад 2024)
Anonim

Кампанії "поливання діри" останнім часом помітніші, і дослідники визначають нові випадки майже щодня. Атака, яка минулого місяця зірвала кілька комп’ютерів у Facebook, Twitter, Apple та Microsoft, вплинула також на більшість компаній.

Facebook повідомляє минулого місяця, що деякі його розробники були заражені Mac Trojan після відвідування зламаного форуму мобільних розробників. У той час компанія зазначила, що багато інших компаній також постраждали. Схоже, зловмисники заразили співробітників "широкого кола цільових фірм у різних галузях". До списку постраждалих організацій входять відомі виробники автомобілів, урядові установи США та "навіть провідний виробник цукерок", згідно з повідомленням.

"Широта видів послуг та організацій, на які спрямовано, не відображає цілеспрямованої атаки на окремий сектор технічних чи галузевих галузей", - заявив The Security Ledger Джо Селліван, начальник служби Facebook.

Що таке отвір для поливу?

Здається, що зловмисники захопили ще два сайти для розробки мобільних додатків - один, присвячений розробникам Android - на додаток до форуму розробників iPhone, який підключив розробників Facebook, повідомляє The Security Ledger . Інші веб-сайти - не тільки розробник мобільних додатків чи інші типи розробки програмного забезпечення - також використовувались у цій широкій кампанії, згідно з джерелами, знайомими з розслідуванням.

Під час нападу на отвір для поливу, зловмисники компромісують і маніпулюють веб-сайтом, щоб подавати зловмисне програмне забезпечення відвідувачам сайту. Однак мотивація зловмисників у такому вигляді нападу відрізняється від сайтів хакерства як форма протесту або наміру крадіжки інформації або грошей. Натомість ці зловмисники використовують переваги небезпечних сайтів та додатків для націлювання на клас користувачів, які можуть відвідувати саме цей сайт. Що стосується сайту Ради з питань зовнішніх зв'язків ще в грудні, нападники, ймовірно, після підмовок політики та інших, хто займається зовнішньою політикою. Мобільні розробники, ймовірно, відвідають форум розробників, і список продовжується.

Зламана або поливаюча отвір?

Операції з поливу свердловин, схоже, є нападами на два дні, і нові звіти про сайти піддаються компрометації щодня. Лабораторії безпеки Websense вчора встановили, що веб-сайти із ізраїльським урядом ict.org.il та herzliyaconference.org були взломані для обслуговування експлуатації Internet Explorer. Атака завантажила файл крапельниць Windows і відкрила стійку задню панель для зв'язку з сервером команд і управління, повідомляє Websense. За оцінками, лаборатори заражали користувачів ще 23 січня.

Компанія виявила підказки, що натякають на ту ж групу "Elderwood", яка стояла за атакою Ради з питань зовнішніх зв'язків.

Цього тижня було встановлено, що видання "Національний журнал" для політичних інсайдерів у Вашингтоні, округ Колумбія, подає варіанти руткіту ZeroAccess і підробленого антивірусу. Час нападу трохи дивує, оскільки журнал знайшов шкідливе програмне забезпечення на своєму сайті ще в лютому, і він лише забезпечив сайт та очистив його. Остання атака використовувала дві відомі вразливості Java та спрямовувала відвідувачів на сайт, на якому розміщений набір для експлуатації Fiesta / NeoSploit.

Чому трапляються ці напади?

Розробники є "типово м'якими цілями", оскільки вони мають широкий доступ до внутрішніх ресурсів і часто мають права адміністратора (або з високими привілеями) на власних комп'ютерах, зазначає аналітик компанії Securosis Річ Моґел. Розробники проводять багато часу на різних сайтах розробників і можуть брати участь у дискусіях на форумі. Багато цих веб-сайтів не мають найкращої безпеки та є вразливими для компромісів.

Незалежно від того, нападник веде цілеспрямовану атаку чи все ще покладається на широкомасштабну кампанію, щоб вивести якомога більше жертв, злочинці "йдуть за працівником, якщо ви хочете отримати доступ до підприємства", - написав Ануп Гош, генеральний директор та засновник Invincea .

Незважаючи на те, що зловмисники, можливо, кидали широку мережу і не націляли конкретно на один тип користувачів, злочинці обирали ці сайти не просто так. Урядові сайти, публікації та форуми розробників - це сайти з високим трафіком, що надають зловмисникам широкий набір потенційних жертв.

Після того, як зловмисники мають список жертв, вони можуть ідентифікувати жертв з високою цінністю та здійснити наступний раунд атак, який може залучати більше соціальних інженерій або доручити резиденту шкідливі програми завантажувати додаткові зловмисні програми.

З точки зору користувача, це просто підкреслює важливість актуалізації ваших інструментів безпеки, програмного забезпечення та операційної системи з останніми виправленнями. Зловмисники не просто використовують нульові дні; багато атак фактично покладаються на старі, відомі вразливості, оскільки люди просто не регулярно оновлюються. Якщо ваша робота вимагає від вас доступу до сайтів, які використовують Java, маєте спеціалізований браузер для цих сайтів та відключіть Java в браузері, що не має права, для доступу до решти Інтернету.

Будьте обережні там.

Атаки поливальних отворів зачерпують усіх, а не лише розробників у фейсбуці, твіттері