Jak działa atak „man-on-the-side”?

Istnieją ataki, o których słyszał każdy, takie jak rozproszone ataki odmowy usługi (DDoS); są ataki, których wiedzą przede wszystkim specjaliści, takie jak ataki „man-in-the-middle” (MitM); a następnie są rzadsze, bardziej egzotyczne, takie jak ataki „man-on-the-side” (MotS). W tym artykule omówimy te ostatnie bardziej szczegółowo i omówimy, czym różnią się od ataków „man-in-the-middle”.

Atak „who-on-the-where”?

Jak działa atak „man-on-the-side”? W zasadzie klient wysyła żądanie do serwera za pośrednictwem skompromitowanego kanału transferu danych. Ten kanał nie jest kontrolowany przez cyberprzestępców, ale oni go „nasłuchują”. W większości przypadków do takiego ataku wymagany jest dostęp do sprzętu dostawcy internetowego, co jest bardzo rzadkie, dlatego ataki „man-on-the-side” są również rzadkie. Te rodzaje ataków monitorują żądania klienta i generują swoje własne złośliwe odpowiedzi.

Atak „man-in-the-middle” działa w podobny sposób. Atakujący również podsłuchują proces transferu danych między klientem a serwerem. Główna różnica między tymi dwoma rodzajami ataków polega na tym, że w przypadku ataku „man-on-the-side” żądanie klienta dociera do odbiorcy (serwera). Dlatego celem atakujących jest odpowiedzenie na żądanie klienta szybciej. W przypadku ataku „man-in-the-middle” atakujący mają większą kontrolę nad kanałem transferu danych. Przechwytują żądanie i mogą modyfikować lub usuwać dane wysłane przez innych użytkowników w sieci. Dlatego nie muszą wyprzedzać odpowiedzi serwera.

Jednak atak „man-in-the-middle” jest znacznie bardziej inwazyjny niż atak „man-on-the-side”. Oznacza to, że jest łatwiejszy do wykrycia.

Dobra, ale jak działa atak „man-on-the-side”?

Udana próba ataku „man-on-the-side” umożliwia wysłanie fałszywych odpowiedzi na różne rodzaje żądań do komputera ofiary, a w ten sposób:

• Zastąpienie pliku, którego użytkownik chciał pobrać. Na przykład w 2022 grupa APT LuoYu dostarczyła złośliwe oprogramowanie WinDealer na urządzenia ofiar, które były w większości dyplomatami, naukowcami lub przedsiębiorcami w Chinach.
• Wysłano żądanie do serwera w celu aktualizacji legalnego oprogramowania, ale atakujący zdołali wysłać swoją własną wersję łatki, z kompletnym złośliwym oprogramowaniem; Uruchomienie złośliwego skryptu na urządzeniu. Według Electronic Frontier Foundation, w ten sposób właśnie w 2015 roku chiński rząd próbował ocenzurować dobrze znaną społeczność open source GitHub. Atakujący użyli ataku typu man-on-the-side, aby dostarczyć złośliwy JavaScript do przeglądarek nieświadomych użytkowników. W rezultacie przeglądarki te odświeżały strony GitHuba raz za razem. Ten atak DDoS trwał ponad pięć dni i znacznie utrudnił działanie serwisu;
• Przekierowanie ofiary na stronę internetową.

Przy okazji, podejrzewa się, że agencje wywiadowcze różnych krajów również używają tego typu ataków.

Jak żyć i jak się chronić?

Chcielibyśmy ponownie podkreślić, że ataki typu man-on-the-side są dość rzadkie. Atakujący muszą mieć dostęp do sprzętu dostawcy, aby je przeprowadzić. Dlatego sytuacje, gdy pracownicy łączą się z wątpliwymi sieciami Wi-Fi podczas podróży służbowych, konferencji lub innych okoliczności, są sytuacjami wysokiego ryzyka. Aby pozostać bezpiecznym, zalecamy zawsze pracować za pośrednictwem sieci VPN i używać silnego rozwiązania zabezpieczającego na wszystkich urządzeniach służbowych pracowników.

źródło: https://usa.kaspersky.com/blog/man-on-the-side/27854/?web_view=true