Обнаружены атаки на компании, для которых не требуется доступ к устройствам

Это доступные немногим наиболее ресурсным злоумышленникам атаки, в ходе которых вредоносное ПО внедряется в легитимный сетевой трафик жертвы. Основные цели кампании — иностранные дипломатические организации, члены академического сообщества, а также оборонные, логистические и телекоммуникационные компании на территории Китая. Также оказались затронуты Германия, Австрия, США, Чехия, Россия и Индия.

Атака man-on-the-side строится следующим образом: злоумышленник видит запросы на подключение к определённому ресурсу в сети. Это происходит путём перехвата данных или благодаря стратегическому положению в сети интернет-провайдера. Затем он отвечает жертве быстрее, чем легитимный сервер, и оправляет заражённую версию запрошенного файла. Даже если атакующие не добиваются успеха с первого раза, они повторяют свои попытки, пока не заразят большинство устройств, загрузив на них шпионское приложение. С его помощью можно просматривать любые файлы, хранящиеся на устройстве, и скачивать их, а также выполнять поиск по ключевым словам.

Помимо этого способа распространения у WinDealer есть ещё одна интересная особенность. Часто вредоносное ПО содержит жёстко прописанный командный сервер. Если ИБ-специалист получил адрес такого сервера, то он может заблокировать его и нейтрализовать угрозу. WinDealer же использует алгоритм генерации IP-адресов и затем из 48 тысяч адресов выбирает, с каким он будет работать в качестве сервера. Очевидно, что операторы не могут контролировать такое число серверов. Вероятно, злоумышленники либо могут перехватывать трафик к сгенерированным IP-адресам (а это опять с большой вероятностью означает стратегическое положение на сети провайдера) или же на самом деле контролируют только несколько адресов и ждут, пока зловред постучится на них. В первом случае способ защиты от атак этого типа — маршрутизировать трафик через другую сеть. Это можно сделать с помощью VPN, но такой путь возможен не всегда.

«В 2019 году эта группа распространяла зловред через зараженные веб-сайты. Можно сказать, что к 2021 году они вступили в клуб тех немногих, кому доступно манипулирование сетевым трафиком до жертв. Помимо заражённых дистрибутивов легитимных программ на это указывает и выбор сетевого адреса контрольного сервера из огромного количества сгенерированных вариантов, — комментирует Денис Легезо, ведущий эксперт по кибербезопасности «Лаборатории Касперского». — С точки зрения защиты пользователям стоит иметь в виду, что внедрение в HTTPS-трафик значительно сложнее и, если к сети оператора доверия нет, а вариант с VPN по какой-то причине недоступен, то хотя бы не стоит загружать скрипты и программы по нешифрованному протоколу HTTP. Перед скачиванием дистрибутивов проверьте, что сайт отдаёт шифрованно не только страницы, но и файлы». 

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!