19 marzo 2024
Aggiornato 03:30
Sicurezza informatica

Holy Water: l’innovativo attacco water-hole

I ricercatori di Kaspersky hanno scoperto una campagna di attacchi di tipo watering-hole attiva da maggio 2019 e rivolta agli utenti in Asia

Sicurezza informatica
Sicurezza informatica Foto: Pixabay

MILANO - I ricercatori di Kaspersky hanno scoperto una campagna di attacchi di tipo watering-hole attiva da maggio 2019 e rivolta agli utenti in Asia. Sono stati compromessi più di 10 siti web legati a temi religiosi, programmi di volontariato, beneficenza e altro ancora, allo scopo di innescare un attacco mirato drive-by download, che installa una backdoor sui dispositivi delle vittime. Gli attaccanti hanno utilizzato un set di strumenti innovativi, tra cui la distribuzione di GitHub e l'utilizzo di un codice open-source.

Watering hole: di cosa si tratta

Watering hole è una strategia di attacco mirato che ha come obiettivo quello di compromettere i siti web frequentati da potenziali vittime. Una volta introdotto il malware all’interno del sito web i criminali attendono che venga installato sui computer degli utenti. È sufficiente che un utente visiti un sito web compromesso per essere esposto al malware, una tattica questa che rende l’attacco semplice da diffondere e quindi anche molto pericoloso. Questa campagna che i ricercatori di Kaspersky hanno denominato «Holy Water», prevede l’installazione di watering hole su siti web di personaggi famosi, enti pubblici, associazioni di beneficenza e altre organizzazioni. Questo attacco water-hole che agisce in più fasi è dotato di un set di strumenti non sofisticati ma che potremmo definire creativi. Ciò che lo contraddistingue è sia la rapida evoluzione dal momento in cui viene introdotto in un sito e sia la vasta gamma di strumenti utilizzati.

Visitando un sito web in cui è stato inserito un water hole, una risorsa precedentemente compromessa caricherà un JavaScript dannoso «offuscato» che avrà l’obiettivo di raccogliere informazioni sul visitatore. Successivamente, un server esterno verifica se un determinato visitatore può essere un potenziale target e, in caso affermativo, la seconda fase di JavaScript caricherà un plugin che attiverà, a sua volta, un attacco di download mostrando un finto pop-up di aggiornamento di Adobe Flash

L'obiettivo è quello di fare seguire all’utente un aggiornamento attraverso il quale scaricherà il pacchetto di installazione dannoso. In questo modo viene creata una backdoor denominata «Godlike12» che fornisce all’attaccante il pieno accesso da remoto al dispositivo infetto. Questo gli permette di modificare i file, raccogliere dati sensibili dal computer, registrare l'attività svolta sul dispositivo e altro ancora. Nell'attacco viene impiegata un’ulteriore backdoor, una versione modificata della backdoor open-source di Python chiamata Stitch la quale oltre a presentare le classiche funzionalità di una backdoor, stabilisce una connessione diretta al socket per lo scambio di dati criptati AES con il server remoto. Il finto pop-up di Adobe Flash è collegato ad un file eseguibile su github.com, che si presenta come un file di aggiornamento di Flash. Dopo la segnalazione di Kaspersky, avvenuta il 14 febbraio 2020, GitHub ha disattivato questo repository interrompendo così la catena di infezione della campagna. Tuttavia, il repository è online da oltre 9 mesi e, grazie alla cronologia di GitHub, i ricercatori sono stati in grado di acquisire una panoramica completa dell'attività e degli strumenti utilizzati dall’attaccante. Questa campagna si distingue per il suo set di strumenti a budget contenuto, non ancora completamente sviluppato e che è stato modificato più volte in pochi mesi per poter sfruttare alcune funzionalità interessanti come Google Drive C2. Kaspersky attribuisce l'attacco al lavoro di un team piccolo e innovativo

«Il Watering hole è una strategia interessante che utilizza attacchi mirati a gruppi specifici di persone. L’impossibilità di assistere agli attacchi in tempo reale non ci ha consentito di determinare l'obiettivo dell'operazione. Tuttavia, questa campagna dimostra ancora una volta come la privacy online debba essere protetta. I rischi per la privacy sono particolarmente elevati se consideriamo diversi gruppi sociali e minoranze poiché troviamo sempre degli attaccanti interessati a saperne di più su questi gruppi», ha dichiarato Ivan Kwiatkowski, senior security researcher di Kaspersky.

Maggiori informazioni sulla campagna water-holing sono disponibili su Securelist.com.

Kaspersky raccomanda:

  • Non aggiornare né installare Adobe Flash Player, in quanto il prodotto non è più supportato: molto probabilmente, l'aggiornamento nasconde oggetti dannosi. Se il prodotto è già installato si consiglia di rimuoverlo in quanto la tecnologia è ormai obsoleta.
  • Utilizzare una VPN per nascondere l’appartenenza ad un gruppo specifico nascondendo l'indirizzo IP reale e la posizione geografica
  • Scegliere una soluzione di sicurezza affidabile come Kaspersky Security Cloud per una protezione efficace contro le minacce note e sconosciute.
  • Fornire al team Security Operations Center (SOC) l'accesso alla più recente threat intelligence e aggiornarsi sugli strumenti, le tecniche e le tattiche utilizzate dai criminali informatici.
  • Implementare soluzioni EDR come Kaspersky Endpoint Detection and Response per il monitoraggio degli endpoint, il rilevamento degli incidenti e il ripristino tempestivo
  • Oltre ad adottare le misure fondamentali di protezione degli endpoint, implementare una soluzione di sicurezza a livello aziendale in grado di rilevare tempestivamente le minacce avanzate a livello di rete, come ad esempio Kaspersky Anti Targeted Attack Platform.