Экзотическая атака man-on-the-side

Рассказываем об особенностях атаки man-on-the-side и о том, чем она отличается от man-in-the-middle.

Как устроена атака man-on-the-side

Есть атаки, которые у всех на слуху, — например, Denial-of-Service (то есть DDoS). Есть более редкие, о которых знают в основном профессионалы, — скажем, man-in-the-middle (MitM) — «человек посередине». А есть совсем экзотические, такие как man-on-the-side (MotS), то есть «человек на стороне». Поговорим о ней подробнее в этом посте, а также обсудим, чем она отличается от атаки с созвучным названием man-in-the-middle.

В чем суть атаки man-on-the-side?

Сама атака man-on-the-side проходит следующим образом. Клиент отправляет некий запрос серверу по скомпрометированному каналу передачи данных, который киберпреступник не контролирует, но «слушает» — в большинстве случаев эта атака предполагает доступ к аппаратуре провайдера (а это большая редкость). Он отслеживает запросы клиента и формирует собственные вредоносные ответы.

Подобным образом работает и атака типа man-in-the-middle. В случае ее реализации злоумышленник также вклинивается в процесс передачи данных между клиентом и сервером. Основное отличие между этими двумя типами атак состоит в том, что при MotS запрос доходит и до адресата — сервера. Поэтому задача преступника успеть ответить на запрос клиента раньше.

При MitM злоумышленник обладает большим уровнем контроля над каналом передачи данных: он перехватывает запрос и, соответственно, может изменять и удалять данные, которые отправляют другие участники сети. Так что у него нет необходимости опережать ответ сервера.

Но при этом атака типа man-in-the-middle значительно более инвазивна, чем man-on-the-side, а значит, ее проще заметить. Подробнее мы описывали то, как работает атака «человек (а точнее, волк) посередине», на примере сказки про «Красную шапочку» в этом посте.

Хорошо, а как это работает на практике?

Успешная реализация MotS позволяет отправлять на компьютер жертвы фальшивые ответы на различные типы запросов и таким образом:

  • Подменить файл, который хотел скачать пользователь. Так, например, в 2022 году APT-группировка LuoYu доставляла вредоносное ПО WinDealer на устройства жертв, большинство из которых находились в Китае и были дипломатами, учеными и предпринимателями. При обновлении легитимного программного обеспечения на сервер отправлялся запрос, но злоумышленники успевали прислать собственный вариант патча, снабженный зловредом.
  • Выполнить на устройстве пользователя вредоносный скрипт. Именно так в 2015 году китайское правительство пыталось цензурировать известный сервис для веб-разработчиков GitHub. При помощи MotS браузер ничего не подозревавших пользователей получал вредоносный JavaScript, заставлявший его постоянно обновлять одни и те же страницы GitHub. Эта DDoS-атака длилась больше пяти дней и существенно затруднила работу сервиса.
  • Перенаправить жертву на свой сайт.

На полях отметим, что спецслужбы различных стран также подозревают в использовании этого вида атаки.

Как защититься?

Повторим еще разок, атаки типа man-on-the-side довольно редки. Для их реализации атакующим необходимо иметь доступ к аппаратуре провайдера. Поэтому командировки, рабочие конференции или любые другие случаи, когда ваши сотрудники подключаются к сомнительным Wi-Fi, являются ситуациями повышенного риска. Чтобы оставаться в безопасности, рекомендуем всегда работать через VPN и использовать надежное защитное решение на всех рабочих устройствах сотрудников.

Советы