Περισσότεροι από 10 ιστοτόποι που σχετίζονται με θρησκεία, εθελοντικά προγράμματα, φιλανθρωπία και πολλούς άλλους τομείς υπονομεύθηκαν για να προκαλέσουν επιλεκτικά μία drive-by download επίθεση, η οποία είχε ως αποτέλεσμα την εγκατάσταση backdoor στις συσκευές των στόχων.
Οι ερευνητές της Kaspersky ανακάλυψαν την watering-hole εκστρατεία με στόχο χρήστες στην Ασία από τον Μάιο του 2019. Οι επιτιθέμενοι χρησιμοποίησαν ένα δημιουργικό σύνολο εργαλείων, το οποίο περιελάμβανε το GitHub και τη χρήση ανοιχτού κώδικα.
Μια επίθεση τύπου «watering-hole» είναι μια στοχευμένη στρατηγική επίθεσης στην οποία οι εγκληματίες του κυβερνοχώρου παραβιάζουν ιστοσελίδες που θεωρούνται γόνιμο έδαφος για πιθανά θύματα και περιμένουν το «φυτεμένο» κακόβουλο λογισμικό να καταλήξει στους υπολογιστές τους. Προκειμένου να εκτεθεί στο κακόβουλο λογισμικό, ο χρήστης πρέπει απλώς να επισκεφθεί έναν παραβιασμένο ιστότοπο, ο οποίος καθιστά αυτό το είδος επίθεσης εύκολο να εξαπλωθεί και επομένως πιο επικίνδυνο. Στην εκστρατεία που ονομάστηκε από τους ερευνητές της Kaspersky «Holy Water», έχουν δημιουργηθεί «water-holes» σε ιστοσελίδες που ανήκουν σε προσωπικότητες, δημόσιους φορείς, φιλανθρωπικούς οργανισμούς και άλλους πολλούς.
Αυτή η επίθεση πολλαπλών σταδίων με ένα απλό αλλά δημιουργικό σύνολο εργαλείων ξεχωρίζει για τη γρήγορη εξέλιξή της από την ημερομηνία έναρξής της, καθώς και από το ευρύ φάσμα εργαλείων που χρησιμοποιήθηκαν.
Κατά την επίσκεψη σε μια από τις «water-holing» ιστοσελίδες, ένας προηγουμένως παραβιασμένος πόρος θα φορτώσει ένα συγκεχυμένο κακόβουλο JavaScript, το οποίο συγκεντρώνει πληροφορίες σχετικά με τον επισκέπτη. Έπειτα, ένας εξωτερικός server διαπιστώνει εάν ο επισκέπτης είναι στόχος. Εάν ο επισκέπτης επικυρωθεί ως στόχος, το δεύτερο στάδιο JavaScript θα φορτώσει ένα plugin, το οποίο με τη σειρά του θα ενεργοποιήσει μια download επίθεση, εμφανίζοντας ένα ψεύτικο αναδυόμενο με ενημερώσεις Adobe Flash.
Στη συνέχεια, ο επισκέπτης αναμένεται να δελεαστεί από την παγίδα ενημέρωσης και να πραγματοποιήσει λήψη ενός πακέτου κακόβουλου προγράμματος εγκατάστασης το οποίο θα δημιουργήσει ένα backdoor με το όνομα Godlike12, παρέχοντας στον απειλητικό φορέα την πλήρη απομακρυσμένη πρόσβαση στη «μολυσμένη» συσκευή, επιτρέποντάς του να τροποποιήσει αρχεία, να συλλέξει εμπιστευτικά δεδομένα από τον υπολογιστή, να καταγράψει δραστηριότητα στον υπολογιστή και πολλά άλλα. Ένα άλλο backdoor, μια τροποποιημένη έκδοση του backdoor Python ανοιχτού κώδικα που ονομάζεται Stitch, χρησιμοποιήθηκε επίσης στην επίθεση. Παρείχε κλασικές λειτουργίες backdoor δημιουργώντας μια άμεση σύνδεση υποδοχής για την ανταλλαγή κρυπτογραφημένων δεδομένων AES με τον απομακρυσμένο server.
Το ψεύτικο αναδυόμενο παράθυρο Adobe Flash συνδέθηκε με εκτελέσιμο αρχείο που φιλοξενήθηκε στο github.com με το πρόσχημα ενός αρχείου ενημέρωσης Flash. Το GitHub το απενεργοποίησε στις 14 Φεβρουαρίου 2020, κατόπιν σχετικής αναφοράς της Kaspersky, σπάζοντας έτσι την αλυσίδα μόλυνσης της εκστρατείας. Ωστόσο, ήταν συνδεδεμένο για περισσότερους από 9 μήνες και χάρη στο ιστορικό της δέσμευσης του GitHub, οι ερευνητές κατάφεραν να αποκτήσουν μοναδική γνώση σχετικά με τη δραστηριότητα και τα εργαλεία του εισβολέα.
Αυτή η εκστρατεία ξεχωρίζει λόγω του χαμηλού προϋπολογισμού της και για το όχι πλήρως αναπτυγμένο σύνολο εργαλείων της, το οποίο έχει τροποποιηθεί αρκετές φορές μέσα σε λίγους μήνες για να αξιοποιήσει ενδιαφέροντα χαρακτηριστικά όπως το Google Drive C2. Η Kaspersky χαρακτηρίζει την επίθεση ως πιθανό έργο μιας μικρής κι ευέλικτης ομάδας.