ماهو هجوم الحُفر المائية؟
هو شكل من أشكال الهجوم الإلكتروني الذي يستهدف مجموعات من المستخدمين عن طريق إصابة مواقع الويب التي يزورونها عادةً، يأخذ تعريف حفرة المياه (watering hole)اسمه من الحيوانات المفترسة التي تختبئ في حفر المياة في انتظار فرصة لمهاجمة الفريسة عندما يكون حذرها منخفضًا، وبالمثل يتربص مهاجمو Watering Hole في مواقع الويب المتخصصة في انتظار فرصة إصابة مواقع الويب، وبالتالي إصابة ضحاياهم بالبرامج الضارة.
يختلف هجوم Watering Hole عن هجمات التصيد الاحتيالي(phishing) وهجمات الـspear-phishing التي تحاول عادةً سرقة البيانات أو تثبيت برامج ضارة على أجهزة المستخدمين ولكنها غالبًا ما تكون مستهدفة وفعالة ويصعب منعها، وبدلاً من ذلك، يهدف هجوم Watering Hole إلى إصابة أجهزة الكمبيوتر الخاصة بالمستخدمين ثم الوصول إلى شبكة الشركة المتصلة. يستخدم مجرمو الإنترنت ناقل الهجوم هذا لسرقة المعلومات الشخصية والتفاصيل المصرفية والملكية الفكرية، بالإضافة إلى الوصول غير المصرح به إلى أنظمة الشركة الحساسة.
تعتبر هجمات حفرة المياة نادرة نسبيًا، لكنها لا تزال تحقق معدل نجاح مرتفع، وذلك لأنهم يستهدفون مواقع الويب الشرعية التي لا يمكن إدراجها في القائمة السوداء، ويقوم مجرمو الإنترنت بنشر عمليات استغلال يوم الصفر(zero-day) التي لن تتمكن أجهزة الكشف عن الفيروسات (antivirus detectors) والماسحات (scanners) من اكتشافها، لذلك تمثل هجمات Watering Hole تهديدًا كبيرًا للمؤسسات والمستخدمين الذين لا يتبعون أفضل الممارسات الأمنية.
كيف يعمل هجوم حفرة المياة؟
يكمن مجرمو الإنترنت في مواقع الويب المشروعة وينتظرون الفرصة لاستهداف الضحايا، حيث يمكن للمهاجمين الذين يبحثون عن مكاسب مالية (financial gain) أو إنشاء شبكة روبوتية (botnet) أن يعرضوا مواقع الويب الاستهلاكية الشهيرة للخطر. عادةً يستهدف المهاجمون مواقع الويب العامة التي يرتادها محترفون من صناعات معينة، مثل لوحات المناقشة (discussion boards) والمؤتمرات الصناعية (industry conferences) والهيئات المتوافقة مع معايير الصناعة(industry-standard bodies).
يبدأ المهاجم بتحديد أهدافه، والتي غالبًا ما تكون موظفين في مؤسسات كبيرة أو وكالات حكومية أو مجموعات حقوق الإنسان، واكتشاف أنواع مواقع الويب التي يميلون إلى زيارتها بشكل متكرر، يبحث المهاجم عن ثغرة أمنية (vulnerability) داخل موقع ما، وينشئ برنامج استغلال لاختراقه، ويصيب موقع الويب، ويتربص بالضحية، وغالبًا ما يقومون بإصابة موقع ويب عن طريق حقنه بلغة HTML أو كود JavaScript الضار، والذي يعيد توجيه الضحايا إلى موقع ويب معين، على الأرجح أنه مخادع يستضيف البرامج الضارة للمهاجم.
في بعض هجمات الحفر المائية، يقوم المجرم الإلكتروني بتوصيل البرامج الضارة وتثبيتها دون أن تدرك الضحية ذلك، وهو ما يُعرف عادةً بهجومdrive-by attack، ويعتمد هذا على ثقة المستخدم بموقع الويب الذي يزوره، إلى الحد الذي يمكنه من خلاله تنزيل ملف دون أن يدرك أنه مصاب ببرامج ضارة، في هذه الحالة من المحتمل أن يستخدم المهاجم برامج ضارة مثل حصان طروادة للوصول عن بعد (Remote Access Trojan (RAT))، والذي يمنحه إمكانية الوصول عن بعد إلى كمبيوتر الضحية.
ماذا يمكنك أن تفعل لمنع مثل هذه الهجمات؟
ستساعد الممارسات التالية المؤسسات على منع شبكاتها ومستخدميها من الوقوع فريسة لهجمات Watering Hole:
1.اختبار الأمان المنتظم-Regular security testing
تحتاج المؤسسات إلى اختبار الحلول الأمنية بانتظام للتحقق من أنها توفر مستوى الدفاع اللازم، ويضمن هذا أن المستخدمين يتصفحون الإنترنت بشكل آمن دائمًا، ويمنع التنزيلات المتعمدة وغير المقصودة للبرامج الضارة أو الجذور الخفية(rootkits)، ويمنع المستخدمين من الوصول إلى مواقع الويب المصابة أو الضارة.
2.الحماية المتقدمة من التهديدات – Advanced threat protection
تعد الحلول الأمنية التي تحمي المؤسسات من نواقل الهجمات المتقدمة أمرًا بالغ الأهمية لمنع هجمات الحفرة المائية، و تتضمن أدوات الحماية من التهديدات المتقدمة حلول التحليل السلوكي(behavioral analysis)، التي تمنح المؤسسات فرصة أفضل لاكتشاف عمليات استغلال zero-day قبل أن يتمكن المهاجمون من استهداف المستخدمين.
3.تحديثات النظام والبرامج -System and software updates
من أفضل الممارسات الأساسية لتجنب هجمات Watering Hole تحديث الأنظمة والبرامج وتثبيت تصحيحات نظام التشغيل (system patches)بمجرد إتاحتها من قبل البائعين، حيث يصيب المهاجمون مواقع الويب من خلال اكتشاف نقاط الضعف في أكوادهم البرمجية.
4.التعامل مع كل حركة المرور على أنها غير موثوق بها – Treat all traffic as untrusted
تحتاج المؤسسات إلى اعتبار كل حركة المرور غير موثوق بها حتى يتم التحقق من شرعيتها، يعد هذا مهمًا بشكل خاص مع حركة مرور الجهات الخارجية ويجب أن يكون أسلوبًا قياسيًا لحركة المرور عبر الإنترنت، بغض النظر عما إذا كانت تأتي من مواقع ويب شريكة أو مواقع إنترنت شائعة مثل نطاقات Google.
5.الاختبار والتأمين – Secure web gateways (SWGs)
تساعد بوابات الويب الآمنة ((SWGs)secure web gateways) المؤسسات على فرض سياسات الوصول إلى الإنترنت الخاصة بها وتصفية البرامج غير المرغوب فيها أو الضارة من الوصول إلى اتصالات الإنترنت التي يبدأها المستخدم، وهذا أمر بالغ الأهمية مع ظهور إنترنت الأشياء (IoT) والتطبيقات السحابية، والتي تزيد من مساحات الهجوم الخاصة بالمؤسسات، حيث تعمل مجموعات SWG على حماية المؤسسات من التهديدات الخارجية والداخلية من خلال التحكم في التطبيقات، وتصفية محدد موقع الموارد (Uniform Resource Locator (URL))، ومنع فقدان البيانات (data loss prevention (DLP))، وعزل المتصفح عن بُعد، والفحص العميق لـ HTTPS، و تعتبر هذه الحلول ضرورية لحماية الشركات من مخاطر تهديدات الأمن السيبراني المتقدمة مثل هجمات حفر المياه.
إحصائيات الهجوم على حفرة المياه
1.كانت مؤسسة فوربس الإخبارية (Forbes)ضحية لهجوم شنته مجموعة قرصنة صينية في عام 2015. واستغلت الحملة ثغرات zero-day في Internet Explorer وAdobe Flash Player لإظهار إصدارات ضارة من ميزة “Thought of the Day”والتي يتم تحميلها من خلال أداة فلاش كلما دخل زائر إلى صفحة على الموقع، مما مكن هجوم حفرة المياه من إصابة أي أجهزة ضعيفة قامت بزيارة موقع فوربس.
2.اكتشفت FortiGuard Labs هجومًا يستهدف مجتمع موقع إخباري صيني مقره الولايات المتحدة في أغسطس 2019. واستغل الهجوم نقاط الضعف المعروفة في ملفات WinRAR وملفات Rich Text Format (RTF)، التي استخدمت تقنيات وأدوات ووظائف خلفية مختلفة لاستهدافها الضحايا.
3.مثال متقدم آخر لهجمات Watering Hole هو استغلال لغة برمجة Microsoft Visual Basic Script (VBScript) لنشر برامج ضارة فريدة من نوعها في فبراير 2019. التهديد الذي اكتشفه باحثو Trend Micro قام بتنزيل مقتطف “Gist” من GitHub، وقام بتعديل الكود إلى إنشاء برنامج استغلال، واستخدام نظام عدوى متعدد المراحل يتضمن بابًا خلفيًا غير معروف لمنتجات مكافحة الفيروسات، وترتبط البرامج الضارة بقنوات Slack الخاصة لجذب الضحايا، الأمر الذي يتطلب تقنيات قرصنة متطورة.
م.أمـــل عبـــدالكــريــم الأصـبــحــي،،،
مصدر المعلومات موقع :https://www.fortinet.com
