حملات "گودال آب" و نگرانی‌ها درباره آن

حملات
تاریخ انتشار : ۱۷ آذر ۱۴۰۰

حملات گوال آب همیشه دو نوع قربانی دارند: وب‌سایت یا سرویس قانونی که مهاجمان برای جاسازی زیرساخت‌های مخرب خود به خطر می‌اندازند و کاربرانی که پس از بازدید در معرض خطر قرار می‌گیرند.

به گزارش گرداب، اکثر هک‌هایی که تاکنون اتفاق افتاده‌اند به نوعی اشتباه که توسط قربانی انجام شده مرتبط می‌شوند. حال ممکن است این اشتباه وارد کرد رمزعبور حساب کاربری در صفحه فیشینگ باشد یا دانلود تصادف فایلی مخرب در رایانه کاری. اما تکنیک بسیاری مخربی وجود دارد که با بازدید از وب‌سایتی واقعی شروع می‌شود. این نوع هک حمله گودال آب یا چاله آب (watering hole attacks) نام دارد.

نه‌تن‌ها این شیوه حمله برای مدت زمان زیادی است که قربانی‌های متعددی را درون خود غرق می‌کند، بلکه مشخص شده اخیرا در پشت چندین رویداد مهم نیز بوده است.

بدترین حمله در سال ۲۰۱۹ انجام شد. سودجویان به مدت دو سال کاربران آیفون جامعه مسلمانان اویغور چین را هدف قرار داده بودند. محققان اطلاعات تأکید می‌کنند که این تکنیک به دلیل قدرت بسیار بالایی که دارد، نسبتا رایج است.

شرکت امنیت اینترنتی ESET می‌گوید چندین حمله گودال آب را در سال شناسایی می‌کند، گروه تحلیل تهدیدات گوگل (TAG) نیز اعلام کرده تجربه‌ای مشابه دارد.

حملات گوال آب همیشه دو نوع قربانی دارند: وب‌سایت یا سرویس قانونی که مهاجمان برای جاسازی زیرساخت‌های مخرب خود به خطر می‌اندازند و کاربرانی که پس از بازدید در معرض خطر قرار می‌گیرند.

مهاجمان به‌طور فزاینده‌ای در به حداقل رساندن ردپای خود مهارت پیدا کرده‌اند و از وب‌سایت یا سرویس آسیب‌دیده صرفاً به عنوان مجرای بین قربانیان و زیرساخت‌های مخرب خارجی استفاده می‌کنند.

به این ترتیب مهاجمان مجبور نیستند همه مراحل لازم برای به دام انداختن قربانیان را در خود سایت پیاده‌سازی کنند. چنین مسئله‌ای کار هکر‌ها را ایمن‌تر می‌کند، زیرا راه‌اندازی حملات آسان‌تر و ردیابی آن را سخت‌تر می‌شود. کدام هکر است که از این دو ویژگی بدش بیاید؟

هک کردن چیست؟ معرفی، انواع و همه آنچه باید بدانید

برای اینکه بازدید سایت توسط کاربر به هک واقعی دستگاه او منجر شود، مهاجمان باید بتوانند از نقص‌های نرم‌افزاری در دستگاه‌های قربانیان سوءاستفاده کنند، که اغلب زنجیره‌ای از آسیب‌پذیری‌ها است که با باگی در مرورگر شروع می‌شود. این آسیب‌پذیری‌ها به مهاجمان دسترسی لازم برای نصب نرم‌افزار‌های جاسوسی یا سایر نرم‌افزار‌های مخرب را می‌دهد.

اگر هکر‌ها واقعاً بخواهند شبکه گسترده‌ای ایجاد کنند، زیرساخت‌های خود برای بهره‌برداری از انواع دستگاه‌ها و نسخه‌های نرم‌افزاری را تا حد امکان تقویت می‌کنند.

همچنین محققان امنیتی می‌گویند هکر‌هایی که از روش مذکور استفاده می‌کنند می‌توانند براساس نوع دستگاه یا اطلاعاتی که توسط مرورگر‌ها جمع‌آوری می‌شوند به جزئیات دقیقی از کاربر دسترسی داشته باشند، مانند کشوری که IP قربانی در آن قرار دارد.

تیتر

چند ماه پیش، یافته‌های ESET در رابطه با حملات گودال آب انجام شده در یمن نشان داد که این نوع هک در عمل چگونه است. وب‌سایت‌های آسیب‌دیده در این کمپین شامل رسانه‌ها در یمن، عربستان سعودی و بریتانیا، سایت‌های ارائه‌دهنده خدمات اینترنتی در یمن و سوریه، سایت‌های دولتی در یمن، ایران و سوریه و حتی شرکت‌های فناوری هوافضا و نظامی در ایتالیا و آفریقای جنوبی می‌شد.

متیو فائو، محقق بدافزار ESET که در کنفرانس امنیتی Cyberwarcon در واشنگتن دی سی، یافته‌ها را ارائه کرد، می‌گوید:

در این مورد، مهاجمان بیش از ۲۰ وب‌سایت مختلف را به خطر انداختند، اما تعداد بسیار کم افرادی که در معرض خطر قرار گرفتند، قابل توجه بود. تنها تعداد انگشت شماری از بازدیدکنندگان وب‌سایت‌های آلوده، در معرض خطر قرار گرفتند. گفتن عدد دقیق سخت است، اما احتمالاً بیش از چند ده نفر نیستند.

به‌طور کلی، بیشتر حملات سایبری توسط گروه‌های جاسوسی سایبری به منظور دستیبابی به اهداف بسیار خاص انجام می‌شود.

فاو و همکارانش در ESET روی ایجاد سیستمی کار می‌کنند که با اسکن دقیق اینترنت، شناسایی حملات گودال آب را آسان‌تر می‌کند. به دلیل اینکه حملات گودال آب مخفیانه و غیرقابل ردیابی هستند، ایجاد چنین سیستم قدرتمندی بسیار ارزشمند است.

با دستیابی به چنین فناوری، محققان نه‌تن‌ها می‌توانند از قربانیان احتمالی بیشتری محافظت کنند، بلکه شانس بیشتری برای ارزیابی زیرساخت مهاجمان و بدافزاری که آن‌ها توزیع می‌کنند دارند.

فاو درباره این ابزار می‌گوید:ما همچنان در حال تطبیق آن برای کشف هرچه بیشتر حملات و در عین حال کاهش تعداد هشدار‌های نادرست هستیم. اما تشخیص زودهنگام این حملات مهم است، زیرا در غیر این صورت ممکن است آن‌ها را از دست بدهیم.

مهاجمان به سرعت وب‌سایت‌های در معرض خطر را پاک می‌کنند و در صورت حذف آن‌ها، بررسی ردپای مهاجمان بسیار سخت می‌شود.

اگرچه نمی‌توانید خطر آلوده شدن دستگاه‌هایتان را به‌طور کامل از بین ببرید، اما می‌توانید با به‌روزرسانی نرم‌افزاری رایانه و تلفن و همچنین ریست کردن منظم دستگاه‌هایتان، از خود محافظت کنید. ریست کردن دستگاه می‌تواند انواع خاصی از بدافزار‌ها را از بین ببرد.

نام این نوع حمله از ایده مسموم کردن منبع آب مرکزی گرفته شده که هر کس از آن بنوشد مسموم و آلوده می‌شود. به همین ترتیب، با شنیدن نام این مدل هک به یاد شکارچی می‌افتیم که در نزدیکی گودالی در کمین است تا قربانی بعدی خود را به اعماق آب برده و نابود کند.

شناسایی حملات گودال آب ممکن است دشوار باشد، زیرا اغلب بی‌سروصدا در وب‌سایت‌های قانونی که صاحبان آن‌ها حتی فکر نمی‌کنند چنین چیزی در بستر صفحه آن‌ها در کمین باشد، قرار گرفته و منتظر طعمه بعدی خود می‌شوند. حتی پس از کشف آن، هیچ‌وقت مشخص نمی‌شود که مدت زمان حمله چقدر بوده و چه تعدادی از کاربران قربانی آن شده‌اند.

شین هانتلی، مدیر Google TAG می‌گوید:فرض کنید مهاجمان به دنبال فعالان دموکراسی هستند. آن‌ها ممکن است وب‌سایتی فعال در این حوزه را هک کنند، زیرا مطمئنا اهداف بالقوه بسیاری از آن بازدید خواهند کرد.

گودال آب مرحله‌ای که کاربر باید کار خاصی را برای در دام افتادن انجام دهد را حذف می‌کند و دقیقا به همین دلیل است که چنین حملاتی بسیار خطرناک بوده و درصد موفقیت بالایی دارند. هکر‌ها فعالان را مجبور به کلیک روی چیزی نمی‌کنند، خصوصا که آن‌ها اغلب افراد زیرکی هستند.

در عوض سودجویان به مکانی در فضای مجازی می‌روند که می‌توان به کاربران زیادی در این حوزه دسترسی داشت. با این روش دیگر نیازی نیست که آن‌ها را برای انجام کاری گول بزنند و می‌توانند مستقیما به مرحله نهایی رفته و به اطلاعات مورد نیاز دسترسی داشته باشند.

به عنوان مثال، چند ماه پیش، TAG یافته‌هایی درباره حمله‌ای را منتشر کرد که تعدادی از رسانه‌ها و وب‌سایت‌های گروه‌های سیاسی طرفدار دموکراسی را برای هدف قرار دادن بازدیدکنندگانی که از مک و آیفون در هنگ‌کنگ استفاده می‌کردند، به خطر می‌انداخت. اما TAG نتوانست مدت زمان دقیق حمله مذکور و تعداد دستگاه‌هایی که تحت تأثیر قرار گرفته بودند را مشخص کند.

منبع: زومیت