Watering
Hole es una técnica de ataque que consiste en comprometer sitios web legítimos
para instalar en ellos algún mecanismo de infección (por ejemplo un exploit
para el navegador o un documento malicioso) e intentar infectar a los usuarios
que visiten sus páginas.
El termino
viene de la técnica de caza que utilizan algunos depredadores que esperan a sus
presas cerca de los sitios donde acuden a beber (watering hole = abrevadero).
Algunos
analistas utilizan también la denominación SWC (Strategic Web
Compromise) para referirse a esta técnica de ataque.
Normalmente
los ataques de Watering Hole son un primer componente de ataques dirigidos de
mayor alcance. Se inician con el compromiso de sitios que tengan relación con
la entidad a atacar. Por ejemplo si es una entidad financiera se comprometen
portales de bolsa, si es una entidad militar se comprometen portales de
temática militar o de fabricantes de armamento.
En 2013
tuvimos en España un caso bastante sonado. La web del fabricante español de
equipos de comunicaciones militares Amper fue comprometida a mediados de Septiembre
y utilizada para distribuir el malware PlugX (asociado al grupo Emissary Panda)
mediante un documento Word malicioso.
Este tipo de
ataques son bastante efectivos ya que:
- La seguridad del sitio infectado queda fuera del perímetro de seguridad de la entidad que es el objetivo final, de forma que las medidas de protección de la misma no lo cubren.
- Los sitios infectados normalmente tienen un nivel de seguridad inferior al que tendrían los de las organizaciones objetivo, siendo por tanto necesarias técnicas de ataque menos sofisticadas. Por ejemplo comprometer la web de una publicación o de un blog de temática militar se supone más fácil que hacerlo directamente en una red de defensa.
- Facilita la realización de ataques dirigidos ya que pueden elegirse los sitios a infectar en base al perfil de sus usuarios.
- Pillan a los usuarios con la guardia baja ya que son sitios que visitan habitualmente y en los que suelen confiar.
Protegerse
de este tipo de ataques es complejo. Es necesario que los usuarios tengan sus
equipos actualizados y protegidos, que estén concienciados contra este tipo de
riesgos y que se realice una monitorización activa de los sitios que suelen
visitar nuestros usuarios.