کمیته رکن چهارم – حمله گودال آب (watering hole attacks) یکی از خطرناکترین شیوههای هک است که در این مقاله آن را بررسی میکنیم.
اکثر هکهایی که تاکنون اتفاق افتادهاند به نوعی اشتباه که توسط قربانی انجام شده مرتبط میشوند. حال ممکن است این اشتباه وارد کرد رمزعبور حساب کاربری در صفحه فیشینگ باشد یا دانلود تصادف فایلی مخرب در رایانه کاری. اما تکنیک بسیاری مخربی وجود دارد که با بازدید از وبسایتی واقعی شروع میشود. این نوع هک حمله گودال آب یا چاله آب (watering hole attacks) نام دارد. نهتنها این شیوه حمله برای مدت زمان زیادی است که قربانیهای متعددی را درون خود غرق میکند، بلکه مشخص شده اخیرا در پشت چندین رویداد مهم نیز بوده است.
بدترین حمله در سال ۲۰۱۹ انجام شد. سودجویان به مدت دو سال کاربران آیفون جامعه مسلمانان اویغور چین را هدف قرار داده بودند. محققان اطلاعات تأکید میکنند که این تکنیک به دلیل قدرت بسیار بالایی که دارد، نسبتا رایج است. شرکت امنیت اینترنتی ESET میگوید چندین حمله گودال آب را در سال شناسایی میکند، گروه تحلیل تهدیدات گوگل (TAG) نیز اعلام کرده تجربهای مشابه دارد.
نام این نوع حمله از ایده مسموم کردن منبع آب مرکزی گرفته شده که هر کس از آن بنوشد مسموم و آلوده میشود. به همین ترتیب، با شنیدن نام این مدل هک به یاد شکارچی میافتیم که در نزدیکی گودالی در کمین است تا قربانی بعدی خود را به اعماق آب برده و نابود کند. شناسایی حملات گودال آب ممکن است دشوار باشد زیرا اغلب بیسروصدا در وبسایتهای قانونی که صاحبان آنها حتی فکر نمیکنند چنین چیزی در بستر صفحه آنها در کمین باشد، قرار گرفته و منتظر طعمه بعدی خود میشوند. حتی پس از کشف آن، هیچوقت مشخص نمیشود که مدت زمان حمله چقدر بوده و چه تعدادی از کاربران قربانی آن شدهاند.
شین هانتلی، مدیر Google TAG میگوید:
فرض کنید مهاجمان به دنبال فعالان دموکراسی هستند. آنها ممکن است وبسایتی فعال در این حوزه را هک کنند زیرا مطمئنا اهداف بالقوه بسیاری از آن بازدید خواهند کرد. گودال آب مرحلهای که کاربر باید کار خاصی را برای در دام افتادن انجام دهد را حذف میکند و دقیقا به همین دلیل است که چنین حملاتی بسیار خطرناک بوده و درصد موفقیت بالایی دارند. هکرها فعالان را مجبور به کلیک روی چیزی نمیکنند، خصوصا که آنها اغلب افراد زیرکی هستند. در عوض سودجویان به مکانی در فضای مجازی میروند که میتوان به کاربران زیادی در این حوزه دسترسی داشت. با این روش دیگر نیازی نیست که آنها را برای انجام کاری گول بزنند و میتوانند مستقیما به مرحله نهایی رفته و به اطلاعات مورد نیاز دسترسی داشته باشند.
به عنوان مثال، چند ماه پیش، TAG یافتههایی درباره حملهای را منتشر کرد که تعدادی از رسانهها و وبسایتهای گروههای سیاسی طرفدار دموکراسی را برای هدف قرار دادن بازدیدکنندگانی که از مک و آیفون در هنگکنگ استفاده میکردند، به خطر میانداخت. اما TAG نتوانست مدت زمان دقیق حمله مذکور و تعداد دستگاههایی که تحت تأثیر قرار گرفته بودند را مشخص کند.
حملات گوال آب همیشه دو نوع قربانی دارند: وبسایت یا سرویس قانونی که مهاجمان برای جاسازی زیرساختهای مخرب خود به خطر میاندازند و کاربرانی که پس از بازدید در معرض خطر قرار میگیرند. مهاجمان بهطور فزایندهای در به حداقل رساندن ردپای خود مهارت پیدا کردهاند و از وبسایت یا سرویس آسیبدیده صرفاً به عنوان مجرای بین قربانیان و زیرساختهای مخرب خارجی استفاده میکنند. به این ترتیب مهاجمان مجبور نیستند همه مراحل لازم برای به دام انداختن قربانیان را در خود سایت پیادهسازی کنند. چنین مسئلهای کار هکرها را ایمنتر میکند زیرا راهاندازی حملات آسانتر و ردیابی آن را سختتر میشود. کدام هکر است که از این دو ویژگی بدش بیاید؟
برای اینکه بازدید سایت توسط کاربر به هک واقعی دستگاه او منجر شود، مهاجمان باید بتوانند از نقصهای نرمافزاری در دستگاههای قربانیان سوءاستفاده کنند، که اغلب زنجیرهای از آسیبپذیریها است که با باگی در مرورگر شروع میشود. این آسیبپذیریها به مهاجمان دسترسی لازم برای نصب نرمافزارهای جاسوسی یا سایر نرمافزارهای مخرب را میدهد. اگر هکرها واقعاً بخواهند شبکه گستردهای ایجاد کنند، زیرساختهای خود برای بهرهبرداری از انواع دستگاهها و نسخههای نرمافزاری را تا حد امکان تقویت میکنند. همچنین محققان امنیتی میگویند هکرهایی که از روش مذکور استفاده میکنند میتوانند براساس نوع دستگاه یا اطلاعاتی که توسط مرورگرها جمعآوری میشوند به جزئیات دقیقی از کاربر دسترسی داشته باشند، مانند کشوری که IP قربانی در آن قرار دارد.
چند ماه پیش، یافتههای ESET در رابطه با حملات گودال آب انجام شده در یمن نشان داد که این نوع هک در عمل چگونه است. وبسایتهای آسیبدیده در این کمپین شامل رسانهها در یمن، عربستان سعودی و بریتانیا، سایتهای ارائهدهنده خدمات اینترنتی در یمن و سوریه، سایتهای دولتی در یمن، ایران و سوریه و حتی شرکتهای فناوری هوافضا و نظامی در ایتالیا و آفریقای جنوبی میشد.
متیو فائو، محقق بدافزار ESET که در کنفرانس امنیتی Cyberwarcon در واشنگتن دی سی، یافتهها را ارائه کرد، میگوید:
در این مورد، مهاجمان بیش از ۲۰ وبسایت مختلف را به خطر انداختند، اما تعداد بسیار کم افرادی که در معرض خطر قرار گرفتند، قابل توجه بود. تنها تعداد انگشت شماری از بازدیدکنندگان وبسایتهای آلوده، در معرض خطر قرار گرفتند. گفتن عدد دقیق سخت است، اما احتمالاً بیش از چند ده نفر نیستند. بهطور کلی، بیشتر حملات سایبری توسط گروههای جاسوسی سایبری به منظور دستیبابی به اهداف بسیار خاص انجام میشود.
فاو و همکارانش در ESET روی ایجاد سیستمی کار میکنند که با اسکن دقیق اینترنت، شناسایی حملات گودال آب را آسانتر میکند. به دلیل اینکه حملات گودال آب مخفیانه و غیرقابل ردیابی هستند، ایجاد چنین سیستم قدرتمندی بسیار ارزشمند است. با دستیابی به چنین فناوری، محققان نهتنها میتوانند از قربانیان احتمالی بیشتری محافظت کنند، بلکه شانس بیشتری برای ارزیابی زیرساخت مهاجمان و بدافزاری که آنها توزیع میکنند دارند.
فاو درباره این ابزار میگوید: ما همچنان در حال تطبیق آن برای کشف هرچه بیشتر حملات و در عین حال کاهش تعداد هشدارهای نادرست هستیم. اما تشخیص زودهنگام این حملات مهم است، زیرا در غیر این صورت ممکن است آنها را از دست بدهیم. مهاجمان به سرعت وبسایتهای در معرض خطر را پاک میکنند و در صورت حذف آنها، بررسی ردپای مهاجمان بسیار سخت میشود.
اگرچه نمیتوانید خطر آلوده شدن دستگاههایتان را بهطور کامل از بین ببرید، اما میتوانید با بهروزرسانی نرمافزاری رایانه و تلفن و همچنین ریست کردن منظم دستگاههایتان، از خود محافظت کنید. ریست کردن دستگاه میتواند انواع خاصی از بدافزارها را از بین ببرد.
منبع : زومیت