Skip to main

Это доступные немногим наиболее ресурсным злоумышленникам атаки, в ходе которых вредоносное ПО внедряется в легитимный сетевой трафик жертвы. Основные цели кампании — иностранные дипломатические организации, члены академического сообщества, а также оборонные, логистические и телекоммуникационные компании на территории Китая. Также оказались затронуты Германия, Австрия, США, Чехия, Россия и Индия.

Атака man-on-the-side строится следующим образом: злоумышленник видит запросы на подключение к определённому ресурсу в сети. Это происходит путём перехвата данных или благодаря стратегическому положению в сети интернет-провайдера. Затем он отвечает жертве быстрее, чем легитимный сервер, и оправляет заражённую версию запрошенного файла. Даже если атакующие не добиваются успеха с первого раза, они повторяют свои попытки, пока не заразят большинство устройств, загрузив на них шпионское приложение. С его помощью можно просматривать любые файлы, хранящиеся на устройстве, и скачивать их, а также выполнять поиск по ключевым словам.

Помимо этого способа распространения у WinDealer есть ещё одна интересная особенность. Часто вредоносное ПО содержит жёстко прописанный командный сервер. Если ИБ-специалист получил адрес такого сервера, то он может заблокировать его и нейтрализовать угрозу. WinDealer же использует алгоритм генерации IP-адресов и затем из 48 тысяч адресов выбирает, с каким он будет работать в качестве сервера. Очевидно, что операторы не могут контролировать такое число серверов. Вероятно, злоумышленники либо могут перехватывать трафик к сгенерированным IP-адресам (а это опять с большой вероятностью означает стратегическое положение на сети провайдера) или же на самом деле контролируют только несколько адресов и ждут, пока зловред постучится на них. В первом случае способ защиты от атак этого типа — маршрутизировать трафик через другую сеть. Это можно сделать с помощью VPN, но такой путь возможен не всегда.

«В 2019 году эта группа распространяла зловред через зараженные веб-сайты. Можно сказать, что к 2021 году они вступили в клуб тех немногих, кому доступно манипулирование сетевым трафиком до жертв. Помимо заражённых дистрибутивов легитимных программ на это указывает и выбор сетевого адреса контрольного сервера из огромного количества сгенерированных вариантов, — комментирует Денис Легезо, ведущий эксперт по кибербезопасности «Лаборатории Касперского». — С точки зрения защиты пользователям стоит иметь в виду, что внедрение в HTTPS-трафик значительно сложнее и если к сети оператора доверия нет, а вариант с VPN по какой-то причине недоступен, то хотя бы не стоит загружать скрипты и программы по нешифрованному протоколу HTTP. Перед скачиванием дистрибутивов проверьте, что сайт отдаёт шифрованно не только страницы, но и файлы».

Чтобы защититься от такой сложной угрозы, как WinDealer, «Лаборатория Касперского» также рекомендует компаниям:

  • проводить аудит кибербезопасности сетей и устранять все обнаруженные уязвимости;
  • использовать EDR-решение и продукт для борьбы со сложными целевыми атаками, а также обеспечить сотрудникам центра мониторинга (SOC) доступ к самой свежей аналитике и регулярно повышать их квалификацию с помощью профессиональных тренингов. Эти возможности доступны в рамках пакета Kaspersky Expert Security;
  • применять решения для защиты конечных устройств и специализированные сервисы для защиты от наиболее продвинутых атак. Сервис Kaspersky Managed Detection and Response позволяет распознать и остановить атаку на ранних стадиях, до того как злоумышленники достигнут своих целей;
  • отслеживать появление новых угроз, например на Threat Intelligence Resource Hub, который предоставляет бесплатный доступ к постоянно обновляемой информации из глобальных источников.

«Лаборатория Касперского» обнаружила распространение вредоносного ПО через подмену обновлений при передаче по сети

Исследователи «Лаборатории Касперского» обнаружили, что для распространения зловреда WinDealer китайскоговорящая кибергруппа LuoYu способна проводить атаки типа «человек на стороне» (man-on-the-side)
Kaspersky Logo