حملات Watering Hole یا گودال آب نوعی از حملات مهندسی اجتماعی هستند که با استفاده از وب‌سایت‌های معتبر و پرمراجعه، قربانیان خود را هدف قرار می‌دهند. در این روش مهاجمان با شناسایی وب‌سایت‌هایی که کاربران یا سازمان‌های هدف به طور منظم از آن‌ها بازدید می‌کنند، آن‌ها را آلوده کرده و به عنوان ابزاری برای توزیع بدافزار یا سرقت اطلاعات استفاده می‌کنند.

در این مطلب به معرفی این نوع حملات، نحوه انجام آن‌ها، خطرات و روش‌های پیشگیری خواهیم پرداخت تا آگاهی شما را در برابر این تهدیدات افزایش دهیم.

حمله گودال آب چیست؟

حمله گودال آب (Watering Hole Attack) نوعی حمله سایبری است که گروه‌های خاصی از کاربران را هدف قرار می‌دهد، با آلوده کردن وب‌سایت‌هایی که آن‌ها به طور مرتب از آن‌ها بازدید می‌کنند. این نام از شکارچیان حیوانات گرفته شده است که در کنار گودال‌های آب کمین می‌کنند و منتظر فرصتی برای حمله به طعمه‌هایی هستند که مراقبتی از خود ندارند. به همین ترتیب حمله‌کنندگان گودال آب در وب‌سایت‌های خاص کمین می‌کنند و منتظر فرصتی هستند تا آن‌ها را آلوده کنند و به تبع آن، قربانیان خود را با بدافزارها آلوده نمایند.

حملات Watering Hole با حملات فیشینگ و اسپیر فیشینگ تفاوت دارند. در حملات فیشینگ و اسپیر فیشینگ معمولاً هدف سرقت داده‌ها یا نصب بدافزار بر روی دستگاه‌های کاربران است، در حالی که در حملات Watering Hole، هدف این است که ابتدا رایانه کاربران آلوده شود و سپس دسترسی به شبکه‌های شرکتی به‌دست آید. مجرمان سایبری از این روش برای سرقت اطلاعات شخصی، جزئیات بانکی و مالکیت معنوی استفاده می‌کنند و همچنین دسترسی غیرمجاز به سیستم‌های حساس شرکت‌ها پیدا می‌کنند.

این حملات نسبتاً نادر هستند، اما همچنان نرخ موفقیت بالایی دارند. دلیل این امر این است که این حملات وب‌سایت‌های معتبر را هدف قرار می‌دهند که امکان قرار دادن آن‌ها در لیست سیاه وجود ندارد، و مهاجمان از اکسپلویت‌های روز صفر (zero-day exploits) استفاده می‌کنند که آنتی‌ویروس‌ها و اسکنرها قادر به شناسایی آن‌ها نیستند. بنابراین حملات گودال آب تهدید جدی برای سازمان‌ها و کاربرانی هستند که از بهترین شیوه‌های امنیتی پیروی نمی‌کنند.

حمله روز صفر چیست؟ برسی حملات Zero Day Attack + روش های پیشگیری

حمله گودال آب چگونه کار می‌کند؟

در حمله Watering Hole مجرمان سایبری در وب‌سایت‌های معتبر کمین می‌کنند و منتظر فرصتی هستند تا قربانیان خود را هدف قرار دهند. حمله‌کنندگان که به دنبال سود مالی یا ایجاد یک شبکه بات‌نت هستند، معمولاً وب‌سایت‌های مصرف‌کننده محبوب را آلوده می‌کنند. به طور معمول، آن‌ها وب‌سایت‌های عمومی‌ای را هدف قرار می‌دهند که توسط حرفه‌ای‌ها در صنایع خاص بازدید می‌شوند، مانند انجمن‌های بحث، کنفرانس‌های صنعتی و نهادهای استاندارد صنعتی.

حمله‌کننده ابتدا با شناسایی اهداف خود شروع می‌کند که اغلب کارکنان سازمان‌های بزرگ، نهادهای دولتی یا گروه‌های حقوق بشری هستند و بررسی می‌کند که آن‌ها معمولاً به کدام نوع وب‌سایت‌ها مراجعه می‌کنند. سپس حمله‌کننده به دنبال یک آسیب‌پذیری در سایت می‌گردد، یک اکسپلویت برای نفوذ به آن ایجاد می‌کند، وب‌سایت را آلوده کرده و منتظر قربانی می‌ماند. این حملات معمولاً با تزریق کد مخرب HTML یا JavaScript به سایت انجام می‌شوند که کاربران را به یک وب‌سایت تقلبی که بدافزارهای حمله‌کننده در آن میزبانی می‌شود هدایت می‌کند.

در برخی از حملات گودال آب، مجرم سایبری بدون اینکه قربانی متوجه شود، بدافزار را نصب و تحویل می‌دهد که به آن حملات “drive-by” گفته می‌شود. این نوع حمله به اعتماد کاربر به وب‌سایتی که بازدید می‌کند وابسته است، به طوری که آن‌ها بدون درک این‌که فایل دانلود شده آلوده به بدافزار است، آن را دانلود می‌کنند. در این نوع حملات، معمولاً از بدافزارهایی مانندRemote Access Trojan  استفاده می‌شود که به مهاجم دسترسی از راه دور به رایانه قربانی را می‌دهد.

چه اقداماتی می‌توان برای پیشگیری از چنین حملاتی انجام داد؟

1. آزمایش منظم امنیتی:

سازمان‌ها باید به طور منظم راه‌حل‌های امنیتی را آزمایش کنند تا از ارائه سطح دفاعی مناسب اطمینان حاصل کنند. این کار تضمین می‌کند که کاربران همیشه به صورت امن اینترنت را مرور کنند، از دانلود‌های عمدی و غیر عمدی بدافزار یا روت‌کیت جلوگیری شود و کاربران از دسترسی به وب‌سایت‌های آلوده یا مخرب جلوگیری کنند.

2. حفاظت پیشرفته از تهدیدات:

استفاده از راه‌حل‌های امنیتی که سازمان‌ها را در برابر حملات پیچیده محافظت می‌کند، برای جلوگیری از حملات گودال آب حیاتی است. ابزارهای حفاظت پیشرفته از تهدیدات شامل راه‌حل‌های تحلیل رفتاری هستند که به سازمان‌ها این امکان را می‌دهند که حملات روز صفر را قبل از هدف قرار دادن کاربران شناسایی کنند.

3. به‌روزرسانی سیستم‌ها و نرم‌افزارها:

یک روش حیاتی برای اجتناب از حملات گودال آب، به‌روزرسانی منظم سیستم‌ها و نرم‌افزارها و نصب اصلاحات سیستم‌عامل است به محض این که توسط فروشندگان منتشر می‌شوند. مهاجمان با کشف آسیب‌پذیری‌ها در کد سایت‌ها، وب‌سایت‌ها را آلوده می‌کنند، بنابراین شناسایی نقص‌ها یا شکاف‌ها در نرم‌افزار قبل از اینکه مجرمان سایبری آن‌ها را پیدا کنند، امری ضروری است.

4. در نظر گرفتن تمام ترافیک به‌عنوان غیرمعتبر:

سازمان‌ها باید همه ترافیک را تا زمانی که مشروع بودن آن تأیید نشود، غیرمعتبر بدانند. این موضوع به‌ویژه در مورد ترافیک از منابع خارجی اهمیت دارد و باید به‌عنوان یک رویکرد استاندارد برای ترافیک اینترنتی در نظر گرفته شود، صرف نظر از اینکه از وب‌سایت‌های شریک یا منابع اینترنتی معروف مانند دامنه‌های گوگل آمده باشد.

5. آزمایش و محافظت در برابر افشای اطلاعات:

دروازه‌های وب امن (SWG) به سازمان‌ها کمک می‌کنند تا سیاست‌های دسترسی به اینترنت خود را اجرا کرده و نرم‌افزارهای ناخواسته یا مخرب را از رسیدن به اتصالات اینترنتی کاربران جلوگیری کنند.

چه سازمان‌هایی تحت تأثیر این حملات قرار گرفته‌اند؟

سازمان‌های بزرگ خبری مانند Forbes در سال ۲۰۱۵ هدف حمله گودال آب قرار گرفتند. این حمله توسط یک گروه هکری چینی صورت گرفت و از آسیب‌پذیری‌های روز صفر در اینترنت اکسپلورر و Adobe Flash Player استفاده کرد تا نسخه‌های مخربی از ویژگی Thought of the Day این وب‌سایت را نمایش دهد.

در آگوست ۲۰۱۹ FortiGuard Labs حمله گودال آب دیگری را کشف کرد که هدف آن جامعه یک وب‌سایت خبری چینی مستقر در ایالات متحده بود. این حمله از آسیب‌پذیری‌های شناخته شده در WinRAR و فایل‌های فرمت متن غنی (RTF) استفاده کرد و از تکنیک‌ها، ابزارها و قابلیت‌های پشتیبان برای هدف قرار دادن قربانیان بهره می‌برد.

مثال دیگری از حملات گودال آب پیشرفته، بهره‌برداری از زبان برنامه‌نویسی VBScript مایکروسافت برای گسترش بدافزار منحصر به فرد در فوریه ۲۰۱۹ بود. این تهدید که محققان Trend Micro آن را کشف کردند، یک gist اسنیپت از GitHub دانلود کرده، کد را تغییر داد تا یک بهره‌برداری بسازد و از یک طرح عفونت چند مرحله‌ای استفاده کرد که شامل یک پشتیبان ناشناخته برای محصولات آنتی‌ویروس بود. این بدافزار به کانال‌های خصوصی Slack متصل می‌شد تا قربانیان را فریب دهد و نیاز به تکنیک‌های پیچیده هکری داشت.

جمع‌بندی…

حملات گودال آب یکی از شیوه‌های پیچیده و مؤثر در حملات سایبری هستند که هدف آن‌ها آلوده کردن کاربران از طریق وب‌سایت‌های معتبر و پر بازدید است. این نوع حملات مشابه به شکارچیانی هستند که در نزدیکی گودال‌های آب منتظر فرصت برای حمله به شکار خود می‌مانند. هکرها ابتدا قربانیان خود را شناسایی کرده و سپس با استفاده از آسیب‌پذیری‌های موجود در سایت‌های معتبر، بدافزارهای خود را به آن‌ها منتقل می‌کنند.