Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru |
Как устроена атака man-on-the-side | Блог Касперского
В чем заключается атака «человек на стороне», что грозит ее жертвам и как от нее защититься.
Есть атаки, которые у всех на слуху, — например, Denial-of-Service (то есть DDoS). Есть более редкие, о которых знают в основном профессионалы, — скажем, man-in-the-middle (MitM) — «человек посередине». А есть совсем экзотические, такие как man-on-the-side (MotS), то есть «человек на стороне». Поговорим о ней подробнее в этом посте, а также обсудим, чем она отличается от атаки с созвучным названием man-in-the-middle.
В чем суть атаки man-on-the-side?
Сама атака man-on-the-side проходит следующим образом. Клиент отправляет некий запрос серверу по скомпрометированному каналу передачи данных, который киберпреступник не контролирует, но «слушает» — в большинстве случаев эта атака предполагает доступ к аппаратуре провайдера (а это большая редкость). Он отслеживает запросы клиента и формирует собственные вредоносные ответы.
Подобным образом работает и атака типа man-in-the-middle. В случае ее реализации злоумышленник также вклинивается в процесс передачи данных между клиентом и сервером. Основное отличие между этими двумя типами атак состоит в том, что при MotS запрос доходит и до адресата — сервера. Поэтому задача преступника успеть ответить на запрос клиента раньше.
При MitM злоумышленник обладает большим уровнем контроля над каналом передачи данных: он перехватывает запрос и, соответственно, может изменять и удалять данные, которые отправляют другие участники сети. Так что у него нет необходимости опережать ответ сервера.
Но при этом атака типа man-in-the-middle значительно более инвазивна, чем man-on-the-side, а значит, ее проще заметить. Подробнее мы описывали то, как работает атака «человек (а точнее, волк) посередине», на примере сказки про «Красную шапочку» в этом посте.
Хорошо, а как это работает на практике?
Успешная реализация MotS позволяет отправлять на компьютер жертвы фальшивые ответы на различные типы запросов и таким образом:
- Подменить файл, который хотел скачать пользователь. Так, например, в 2022 году APT-группировка LuoYu доставляла вредоносное ПО WinDealer на устройства жертв, большинство из которых находились в Китае и были дипломатами, учеными и предпринимателями. При обновлении легитимного программного обеспечения на сервер отправлялся запрос, но злоумышленники успевали прислать собственный вариант патча, снабженный зловредом.
- Выполнить на устройстве пользователя вредоносный скрипт. Именно так в 2015 году китайское правительство пыталось цензурировать известный сервис для веб-разработчиков GitHub. При помощи MotS браузер ничего не подозревавших пользователей получал вредоносный JavaScript, заставлявший его постоянно обновлять одни и те же страницы GitHub. Эта DDoS-атака длилась больше пяти дней и существенно затруднила работу сервиса.
- Перенаправить жертву на свой сайт.
На полях отметим, что спецслужбы различных стран также подозревают в использовании этого вида атаки.
Как защититься?
Повторим еще разок, атаки типа man-on-the-side довольно редки. Для их реализации атакующим необходимо иметь доступ к аппаратуре провайдера. Поэтому командировки, рабочие конференции или любые другие случаи, когда ваши сотрудники подключаются к сомнительным Wi-Fi, являются ситуациями повышенного риска. Чтобы оставаться в безопасности, рекомендуем всегда работать через VPN и использовать надежное защитное решение на всех рабочих устройствах сотрудников.
Источник: Лаборатория Касперского
09.02.2023