Istraživači kompanije Kaspersky otkrili su „watering-hole” kampanju koja je od maja 2019. godine targetirala korisnike u Aziji. Više od 10 veb-sajtova koji su u vezi sa religijom, programima volontiranja, dobrotvornim organizacijama i nekoliko drugih oblasti, kompromitovano je radi selektivnog pokretanja „drive-by download” napada što je za ishod imalo kreiranje bekdora na ciljanim uređajima. Napadači su koristili kreativni set alata, koji je uključivao GitHub distribuciju i upotrebu otvorenog koda.
„Watering hole” je strategija ciljanog napada u kojoj sajber kriminalci kompromituju veb-sajtove za koje se smatra da predstavljaju plodno tle za potencijalne žrtve i čekaju da postavljeni malver završi na njihovim računarima. Kako bi bio izložen malveru, dovoljno je da korisnik poseti kompromitovani veb-sajt, što ovaj vid napada čini lakim za širenje a samim tim i opasnijim. U kampanji koju su istraživači kompanije Kaspersky nazvali Holy Water, „water-holes” su postavljene na veb-sajtovima koji pripadaju javnim ličnostima, javnim ustanovama, dobrotvornim i drugim organizacijama.
Ovaj višestepeni „waterhole” napad sa nesofisticiranim ali kreativnim setom alata karakterističan je po svom brzom evoluiranju od dana osnivanja, kao i po širokom opsegu alata koji se koriste.
Prilikom posete nekom od „water-holing” veb-sajtova, prethodno kompromitovani resurs će učitati neprimetni maliciozni JavaScript, koji sakuplja podatke o posetiocu. Spoljašnji server tada utvrđuje da li je posetilac meta. Ukoliko je posetilac potvrđen kao meta, druga JavaScript faza će učitati plugin, koji će onda pokrenuti „download” napad, prikazujući lažni Adobe Flash podsetnik za ažuriranje.
Zatim se očekuje da će posetilac biti namamljen u zamku za ažuriranje i da će preuzeti maliciozni paket za instaliranje koji će kreirati bekdor pod nazivom „Godlike12”, što će akteru pretnji obezbediti potpuni pristup na daljinu zaraženom uređaju, omogućujući modifikovanje fajlova, prikupljanje poverljivih podataka sa računara, praćenje aktivnosti na računaru i još mnogo toga. Drugi bekdor, izmenjena verzija otvorenog Python bekdora pod imenom Stitch, takođe je korišćen u napadu. Obezbedio je klasične funkcije bekdora uspostavljanjem direktne konekcije putem utičnice, kako bi se AES šifrovani podaci razmenili sa udaljenim serverom.
Lažni Adobe Flash podsetnik povezan je sa izvršnim fajlom koji se nalazi na adresi github.com pod maskom Flash fajla za ažuriranje. GitHub je onemogućio ovaj repozitorijum 14. februara 2020. godine nakon što ga je kompanija Kaspersky prijavila i na taj način je prekinut lanac zaraze. Repozitorijum je, međutim, bio onlajn više od 9 meseci, i zahvaljujući GitHub-ovoj istoriji, istraživači su uspeli da steknu jedinstveni uvid u aktivnosti i alate napadača.
Kampanja se ističe svojim niskobudžetnim i nepotpuno razvijenim setom alata, koji je modifikovan nekoliko puta u par meseci radi korišćenja zanimljivih funkcija poput Google Drive C2. Kompanija Kaspersky smatra da je napad najverovatnije delo malog, agilnog tima.
„Watering hole je zanimljiva strategija koja daje rezultate putem korišćenja ciljanih napada na određene grupe ljudi. Nismo bili u mogućnosti da budemo svedoci napada uživo i usled toga nismo mogli da odredimo operativni cilj. Ipak, ova kampanja još jednom pokazuje zašto onlajn privatnost treba aktivno štititi. Rizici po privatnost su naročito visoki kada uzmemo u obzir različite socijalne grupe i manjine, jer uvek postoje akteri koju su zainteresovani da saznaju nešto više o takvim grupama“ – komentariše Ivan Kvajatkovski (Ivan Kwiatkowski), vodeći istraživač bezbednosti u kompaniji Kaspersky.