90
Con i termini ‘watering hole attack’, traducibile in
‘attacco alla pozza d’acqua’, si fa riferimento a quegli
agguati che gli animali carnivori tendono alle prede
che si avvicinano a una pozza d’acqua per dissetarsi.
I termini utilizzati nel contesto della sicurezza in-
formatica sono una chiara metafora per indicare
un attacco mirato a utenti, le prede, che accedono
e navigano in determinati siti web, tipicamente di
organizzazioni molto influenti e autorevoli. Il pre-
datore, sapendo che in quel sito la preda andrà, e
probabilmente in determinati giorni, l’aspetta con
le proprie armi per… divorarla.
Per molti anni, e in parte ancora oggi, i principali
attacchi informatici hanno avuto come obiettivo in
maniera massima gli utenti generici di siti popola-
ri e molto visitati, come Google, Facebook, Ama-
zon, CNN, e così via. Obiettivo di tali attacchi era,
ed è, principalmente il furto dell’identità digitale
del generico utente per utilizzarla al fine di scopi
fraudolenti: prelievi dal conto corrente del malca-
pitato, acquisti on line con la sua carta di credito,
e quant’altro.
I nuovi tipi di attacchi, come quelli watering hole,
gli APT e il spear phishing, invece si focalizzano su
specifiche tipologie di utenti e di programmi, ben
noti agli attaccanti.
La logica dell’attacco watering hole si concentra su
siti web, non usati da una gran massa di persone,
ma da un numero di utenti relativamente limitato e
portatori di interessi specifici, per i quali tali utenti
stanno accedendo al sito attaccato: utenti che per
la loro posizione e ruolo hanno informazioni riser-
vate e spesso significative capacità economiche, e
che pertanto sono di forte interesse per gli attac-
canti. Una volta connesso al sito già manipolato
dall’attaccante, il browser, il dispositivo dell’utente
(dal pc al lap top, dal tablet allo smartphone) e la
sessione con il sito web sono a loro volta attaccati
per carpire informazioni dell’utente, tipicamente le
sue identità digitali utili a compiere frodi. Acquisite
le informazioni, normalmente vengono cancellate
le tracce dell’attacco stesso.
Da attacchi di massa e generici, si passa quindi ad
attacchi specifici a determinati ambienti visitati
prevalentemente da un gruppo specifico di utenti.
Il caso CFR
Il watering hole rappresenta una relativamente nuo-
va tipologia di attacco, che è bene conoscere per
potersi difendere. A questo scopo, e a titolo esem-
plificativo, si propone il caso del sito del Council on
Foreign Relations
), un’associazione
privata statunitense, apartitica, composta soprat-
tutto da uomini d’affari e leader politici che studiano
i problemi globali e possono/vogliono influenzare
la definizione della politica estera Usa.
Tra la fine del 2012 e gli inizi del 2013 il sito web del
CFR è stato attaccato, si suppone da hacker cinesi,
in modo che si infettassero gli end-point dei visi-
tatori con un malware e gli attaccanti potessero
accedere alle informazioni e alle identità digitali
dei malcapitati.
Nel caso CFR, il tipo di utenza è tipicamente fatta
da lobbisti, giornalisti, persone che hanno interesse
a condizionari i decisori delle politiche estere del
governo. La prima fase dell’attacco fu sferrato il 21
giugno 2013
Che cos’è un attacco
watering hole
L’esempio del caso reale CFR
ci permette di capire
come funzionano
i moderni attacchi mirati
Marco Bozzetti, OAI founder
