Исследователи «Лаборатории Касперского» обнаружили, что для распространения малвари WinDealer китайскоговорящая хак-группа LuoYu способна проводить атаки типа «человек на стороне» (man-on-the-side). Такие атаки доступны лишь наиболее «ресурсным» злоумышленникам и подразумевают, что вредоносное ПО внедряется в легитимный сетевой трафик жертвы.
Основные цели кампании LuoYu — иностранные дипломатические организации, члены академического сообщества, а также оборонные, логистические и телекоммуникационные компании на территории Китая. Также пострадали Германия, Австрия, США, Чехия, Россия и Индия.
Атака типа man-on-the-side строится следующим образом: атакующий видит запросы на подключение к определенному ресурсу в сети. Это происходит путем перехвата данных или благодаря стратегическому положению в сети интернет-провайдера. Затем он отвечает жертве быстрее, чем легитимный сервер, и оправляет зараженную версию запрошенного файла. Даже если атакующие не добиваются успеха с первого раза, они повторяют свои попытки, пока не заразят большинство устройств, загрузив на них шпионское приложение. С его помощью можно просматривать любые файлы, хранящиеся на устройстве, и скачивать их, а также выполнять поиск по ключевым словам.
Помимо такого способа распространения у WinDealer есть еще одна интересная особенность. Часто малварь содержит жестко закодированные данные о командном сервере. Если ИБ-специалист получил адрес такого сервера, то он может заблокировать его и нейтрализовать угрозу. WinDealer же использует алгоритм генерации IP-адресов и затем из 48 000 адресов выбирает, с каким он будет работать в качестве сервера.
Очевидно, что операторы не могут контролировать такое число серверов. Вероятно, злоумышленники либо могут перехватывать трафик к сгенерированным IP-адресам (а это опять с большой вероятностью означает стратегическое положение на сети провайдера) или же на самом деле контролируют только несколько адресов и ждут, пока малварь «постучится» на них. В первом случае способ защиты от атак этого типа — маршрутизировать трафик через другую сеть. Это можно сделать с помощью VPN, но такой путь возможен не всегда.
«В 2019 году эта группа распространяла зловред через зараженные сайты. Можно сказать, что к 2021 году они вступили в клуб тех немногих, кому доступно манипулирование сетевым трафиком до жертв. Помимо зараженных дистрибутивов легитимных программ на это указывает и выбор сетевого адреса контрольного сервера из огромного количества сгенерированных вариантов, — комментирует Денис Легезо, ведущий эксперт по кибербезопасности «Лаборатории Касперского». — С точки зрения защиты пользователям стоит иметь в виду, что внедрение в HTTPS-трафик значительно сложнее и, если к сети оператора доверия нет, а вариант с VPN по какой-то причине недоступен, то хотя бы не стоит загружать скрипты и программы по нешифрованному протоколу HTTP. Перед скачиванием дистрибутивов проверьте, что сайт отдает шифрованно не только страницы, но и файлы».
