«Лаборатория Касперского» обнаружила «атаку на водопое» - «Финансы»

Злоумышленники инфицировали сайты, которые принадлежат как отдельным людям, так и общественным организациям.

«Лаборатория Касперского» обнаружила целевую атаку, жертвы которой заражались через часто посещаемые ими сайты. Такой тип атаки, позволяющий зловреду проникнуть на устройство сразу после посещения пользователем скомпрометированного ресурса, называется watering hole («атака на водопое»), говорится в сообщении компании.

«Лаборатория Касперского» обнаружила целевую кампанию, которая действует с мая 2019 года и направлена на пользователей в Азии. В ходе нее было заражено более десяти часто посещаемых потенциальными жертвами сайтов, связанных с религией, волонтёрскими и благотворительными программами», — отмечают в компании.

Кампания получила название Holy Water, в рамках нее злоумышленники используют нестандартные подходы, но их нельзя назвать технически сложными. Главные особенности — быстрое эволюционирование и применение широкого набора инструментов, в частности атакующие использовали хранилище GitHub и ПО с открытым исходным кодом.

Злоумышленники инфицировали сайты, которые принадлежат как отдельным людям, так и общественным организациям, благотворительным фондам и другим компаниям. На интернет-страницы внедрялся загрузчик, который позволял установить на устройства жертв бэкдор сразу после посещения ими скомпрометированного ресурса. Такое ПО открывает полный доступ к заражённому устройству: позволяет вносить изменения в файлы, собирать конфиденциальную информацию с устройства и данные о проводимых на нём действиях.

Кроме того, в ходе кампании использовался еще один бэкдор, который позволяет обмениваться зашифрованными данными с удаленным сервером. Его задача — собрать информацию о посетителе и проверить, является ли он целью. Если да, то на его устройство загружается плагин, который провоцирует загрузку, показывая фейковое обновление Adobe Flash. Файл, который позволял исполнять фейковое всплывающее уведомление от Adobe Flash, хранился на GitHub. Он уже закрыт, но благодаря предоставленной GitHub возможности изучить его историю эксперты «Лаборатории Касперского» смогли получить уникальные данные о деятельности и инструментах злоумышленников.

Обнаружение кампании Holy Water стало возможным из-за ее низкобюджетности и не полностью проработанного набора инструментов, который менялся несколько раз за несколько месяцев.

«Атака типа watering hole через узкоспециализированные сайты — это эффективный способ заражения устройств определённой группы людей. По сути, эта кампания ещё раз демонстрирует, почему так важно задумываться о приватности в интернете. Риски её нарушения особенно высоки, когда речь идёт о разных социальных группах и меньшинствах, потому что всегда есть злоумышленники, которые могут быть заинтересованы в такой информации», — комментирует руководитель российского исследовательского центра «Лаборатории Касперского» Юрий Наместников.