Водопой — это стратегия компьютерной атаки , при которой злоумышленник угадывает или наблюдает, какие веб-сайты часто использует организация, и заражает один или несколько из них вредоносным ПО . В конце концов, какой-то член целевой группы заразится. [1] [2] [3] Хакеры, ищущие определенную информацию, могут атаковать только пользователей с определенного IP-адреса . Это также затрудняет обнаружение и исследование взломов. [4] Название происходит от хищников в мире природы, которые ждут возможности напасть на свою добычу возле водопоев. [5]
Веб- сайты часто заражаются через уязвимости нулевого дня в браузерах или другом программном обеспечении. [4] Защита от известных уязвимостей заключается в применении последних исправлений программного обеспечения для устранения уязвимости, позволившей заразить сайт. Это помогает пользователям убедиться, что все их программное обеспечение работает под управлением последней версии. Дополнительная защита заключается в том, что компании могут отслеживать свои веб-сайты и сети, а затем блокировать трафик в случае обнаружения вредоносного контента. [6]
В декабре 2012 года было обнаружено, что веб-сайт Совета по международным отношениям заражен вредоносным ПО через уязвимость нулевого дня в Microsoft Internet Explorer . В этой атаке вредоносное ПО было развернуто только для пользователей, использующих Internet Explorer с установленным английским, китайским, японским, корейским и русским языками. [7]
Havex был обнаружен в 2013 году и является одним из пяти известных вредоносных программ, специально разработанных для промышленных систем управления (ICS), разработанных за последнее десятилетие. Energetic Bear начал использовать Havex в широкомасштабной шпионской кампании, нацеленной на энергетический, авиационный, фармацевтический, оборонный и нефтехимический секторы. Кампания была нацелена на жертв в первую очередь в США и Европе. [8] Havex использовала атаки на цепочку поставок и водопой на программное обеспечение поставщиков АСУ ТП в дополнение к кампаниям целевого фишинга для получения доступа к системам жертв. [9]
В середине начала 2013 года злоумышленники использовали веб-сайт Министерства труда США для сбора информации о пользователях. Эта атака была нацелена на пользователей, посещающих страницы с ядерным контентом. [10]
В конце 2016 года польский банк обнаружил вредоносное ПО на компьютерах, принадлежащих учреждению. Считается, что источником этой вредоносной программы был веб-сервер Польской финансовой инспекции . [11] Сообщений о каких-либо финансовых потерях в результате этого взлома не поступало. [11]