汽车和航空制造业厂商正在遭受”水源地攻击”

　　继“目标攻击”和“社交工程”之后，守株待兔式的“酒吧攻击”（Watering Hole attack，也被译作水源地攻击）在黑客中间开始流行，根据CrowdStrike的报告，“酒吧攻击”已经成为黑客“国家队”偏爱的攻击手段，但近来民间黑客组织也开始更多采取间接攻击方式，例如诱使用户下载毒化的手机APP，侵入在他们经常访问的网站守株待兔，而不是过去流行的钓鱼攻击。最近黑客对制造业工控系统的成功入侵，意味着企业信息安全主管们需要认真对待“酒吧攻击”这种新的社工攻击手段。

　　根据安全公司AlienVault的安全研究人员James Blasco的研究， 汽车和航空制造业厂商所采用的工程软件中可能被植入了击键记录以及情报采集的恶意软件。

　　James Blasco不愿透露这一软件的名称， 不过James Blasco发现了一个专门针对该软件厂商员工的“酒吧攻击”网站。 该公司的一个员工访问过该网站

　　这名员工访问了这个网站后， 他的电脑就感染了一个名为ScanBox的木马。 这个木马可以记录击键以及其他一个表单的输入并且传回到命令与控制服务器（Ｃ＆Ｃ）。

　　这个木马同时会收集电脑中的安全软件的信息如版本号等等。此外，它还会收集其他一些软件的版本信息，如Adobe Flash， Adobe Reader， MS Office和Java等。

　　“当用户访问遭受“酒吧攻击”的网站时， 所有的击键都被记录下来并回传， 木马还会记录用户填写的一些网站表单，这里面可能会包含用户名和密码等敏感信息。” James Blasco写道，“这是一个强大的信息收集框架， 可以给攻击者很多关于潜在目标的信息以便发起后续的攻击。”

　　所谓“酒吧攻击”是指黑客从直接攻击目标企业和政府部门转向间接迂回的策略性web攻击（Strategic Web Compromise），简单来说就是通过攻击目标对象经常访问的网站来达到攻击和入侵目的，也就是所谓的“酒吧攻击”——WateringHole。

　　“酒吧攻击”是RSA在2012年命名的， 当时， RSA发现一个名为gh0st的远程控制木马， 这种木马的植入是通过入侵那些华盛顿地区金融和技术领域企业员工常去的网站， 然后对用户进行木马植入的。

　　前一段时间报道的针对欧洲和北美发电企业工控系统的袭击就是通过工控软件企业开始的。 工控系统的安全目前看来正在成为黑客的未来攻击目标。