Σε μια ανάλυση που πραγματοποίησαν οι Clement Lecigne και Josh Atkins από την Ομάδα Ανάλυσης Απειλών της Google και ο Luke Jenkins από τη Mandiant, επιβεβαιώθηκαν πολλαπλές επιθέσεις που διήρκεσαν εννέα μήνες και αποδόθηκαν σε μια ομάδα χάκερ με την ονομασία APT29, η οποία φέρεται να έχει διασυνδέσεις με τη ρωσική κυβέρνηση.
Οι επιθέσεις στόχευσαν χρήστες Android και iOS με εκμεταλλεύσεις κατά των περιηγητών Apple Safari και Google Chrome. Η αναφορά Google TAG που δημοσιεύθηκε στις 29 Αυγούστου αποκάλυψε ότι οι μέθοδοι που χρησιμοποιήθηκαν από την ομάδα APT29 ήταν ίδιες με αυτές που είχαν χρησιμοποιηθεί από εταιρείες που πουλάνε λογισμικό παρακολούθησης, δηλαδή spyware στο παρελθόν.
Πώς γίνεται μία επίθεση «Watering Hole»
Οι αναλυτές ασφαλείας της Google και της Mandiant παρατήρησαν ότι οι επιθέσεις που έκανε η ομάδα APT29 χρησιμοποιούσαν μια παλιά μέθοδο που ονομάζεται “watering hole attack“. Η καταγραφή έγινε από τον Νοέμβριο του 2023 μέχρι τον Ιούλιο του 2024.
Η επίθεση αυτή στοχεύει τα θύματα με την μόλυνση ενός ιστότοπου ή υπηρεσίας που χρησιμοποιούν και εμπιστεύονται. Αυτή είναι η Νο1 παγίδα. Παρόμοια με τους θηρευτές που κρύβονται κοντά σε πηγές νερού για να επιτεθούν στα θηράματά τους όταν είναι πιο ευάλωτα.
Η χρήση αυτών των επιθέσεων παρακάμπτει τις παραδοσιακές δικλείδες ασφαλείας στο διαδίκτυο, όπως τα φίλτρα κατηγοριοποίησης URL, καθώς ο ιδιοκτήτης του ιστότοπου και το περιεχόμενο που φιλοξενείται εκεί είναι νόμιμα, αφήνοντας μόνο μερικά επίπεδα προστασίας ανάμεσα στη συσκευή του χρήστη και τον κακόβουλο κώδικα.
Το πρόβλημα γίνεται πιο σοβαρό στις κινητές συσκευές, όπου οι περισσότεροι χρήστες δεν έχουν προϊόντα προστασίας για να σταματήσουν ακόμη και γνωστές επιθέσεις, αφήνοντας τα μη ενημερωμένα συστήματα ευάλωτα.
Στο στόχαστρο οι χρήστες iOS και Android
Τα θύματα αυτών των επιθέσεων ήταν κυβερνητικοί ιστότοποι στη Μογγολία, αν και η ίδια τακτική θα μπορούσε να εφαρμοστεί σε οποιονδήποτε στόχο.
Οι κρατικές ομάδες όπως η APT29 συνήθως στοχεύουν μεγάλους οργανισμούς, εμπορικούς και κυβερνητικούς, που ωφελούν περισσότερο τους χρηματοδότες τους.
Οι κοινές παράμετροι ήταν ότι τα θύματα χρησιμοποιούσαν τον περιηγητή Safari σε παλαιότερες εκδόσεις του iOS (πριν από την έκδοση 16.6.1) και στη συνέχεια χρήστες Android που χρησιμοποιούσαν τις εκδόσεις m121 έως m123 του Chrome.
Πρέπει να σημειωθεί ότι υπήρχαν ήδη διαθέσιμες διορθώσεις για τις ευπάθειες που εκμεταλλεύτηκαν αυτές οι επιθέσεις, αλλά οι χρήστες που χρησιμοποιούσαν μη ενημερωμένες εκδόσεις ήταν σε κίνδυνο.
Προστασία από επίθεση Watering Hole
Οι οργανισμοί πρέπει να είναι ευέλικτοι και να ενημερώνουν συνεχώς τις κυβερνοασφαλιστικές διατάξεις τους για να συμβαδίζουν με το συνεχώς εξελισσόμενο τοπίο απειλών.
Οι κυβερνοεγκληματίες αναπτύσσουν συνεχώς νέες τακτικές, τεχνικές και διαδικασίες για να εκμεταλλεύονται τις ευπάθειες και να παρακάμπτουν τους ελέγχους ασφαλείας. Οι οργανισμοί πρέπει να είναι σε θέση να προσαρμόζονται γρήγορα και να ανταποκρίνονται σε αυτές τις απειλές.
Οι οργανισμοί θα πρέπει να εξετάζουν την ανάπτυξη τέτοιων λύσεων όπως η απομόνωση περιηγητών με υλική υποστήριξη, η οποία μεταφέρει την εκτέλεση κώδικα μακριά από τη συσκευή του τελικού χρήστη και σε ένα περιβάλλον απομόνωσης.
Η απομόνωση κώδικα σε ένα sandbox διασφαλίζει ότι ο χρήστης έχει πρόσβαση στις πληροφορίες που παρουσιάζονται στη σελίδα, αλλά δεν εκτίθεται σε κακόβουλο κώδικα.
Οι τελικοί χρήστες, από την άλλη, θα πρέπει πάντα να διασφαλίζουν ότι οι συσκευές τους και οι εφαρμογές που είναι εγκατεστημένες σε αυτές ενημερώνονται με τις πιο πρόσφατες διορθώσεις ασφαλείας.