„Watering hole“ atakos pasižymi tuo, kad programišiai bando atspėti, arba iš anksto stebi, kokias interneto svetaines dažniausiai naudoja jų taikiniai – organizacijos ar pavieniai asmenys – ir užkrečia jas kenksminga programa. Tokiu būdu aukos yra nukreipiamos į programišių C&C (valdymo ir kontrolės) infrastruktūrą.
Pasak ESET saugumo ekspertų, už „Turla“ atakas atsakinga grupuotė pastaruoju metu labiau taikosi į ambasadų internetines svetaines. Pavyzdžiui, šių metų vasarį buvo užkrėstos Rusijos, Irako, Jordanijos ir Zambijos ambasadų tinklalapiai, taip pat nemažai politinių partijų bei ministerijų puslapiai.
Kitaip nei ankstesnės „Turla“ kampanijos, viena jos versija pasitelkia „Firefox“ plėtinį, kuris naudoja „bit.ly“ nuorodą kontrolės ir valdymo serverio pasiekimui. Šis nuorodos kelias pastebimas komentaruose, skelbiamuose tam tikruose „Instagram“ įrašuose. ESET analizuotas pavyzdys buvo rastas Britney Spears „Instagram“ paskyroje.
Kad pasiektų „bit.ly “ nuorodą, naršyklės plėtinys tikrina kiekvieną nuotraukos komentarą ir apskaičiuoja tam tikrą maišos (angl. hash) vertę. Jei ji sutampa su plėtinio turimu skaičiumi, jis bandys nustatyti nuorodos kelią. Tokiu būdu „Firefox“ plėtinys sukuria galines duris, leidžiančias rinkti informaciją apie užkrėsto kompiuterio sistemą, atsisiųsti failus iš kontrolės ir valdymo serverio.
„Tai, kad „Turla“ naudoja socialinį tinklą, kad generuotų kontrolės ir valdymo serverio adresus, gali pasunkinti gyvenimą visiems kibernetinio saugumo sprendimų kūrėjams. Nes darosi gerokai sunkiau išskirti kenksmingą srautą nuo teisėto socialiniame tinkle, be to, programišiai bet kada gali redaguoti arba tiesiog ištrinti savo komentarus su kenksmingomis nuorodomis“, – teigia ESET vyresnysis kenkėjų tyrėjas Jean-Ian Boutin.
Siekiant išvengti „watering hole“ atakų, ESET tyrėjai rekomenduoja laiku atnaujinti naršykles ir jų įskiepius, taip pat rinktis pažangius antivirusinius sprendimus, kurie nustato kenksmingas svetaines. Taip pat patariama laikytis interneto higienos ir nesisiųsti bei nediegti jokių naršyklių plėtinių, kurie yra prieinami neteisėtuose šaltiniuose.
