Malware met de naam WinDealer heeft de mogelijkheid om netwerkverkeer binnen te dringen via een man-on-the-side aanval. De malware wordt verspreid door de Advanced Persistent Threat (APT)-actor LuoYu. Deze baanbrekende ontwikkeling stelt de cybercrimineel in staat om netwerkverkeer in-transit aan te passen en kwaadaardige payloads in te voegen. Dergelijke aanvallen zijn bijzonder gevaarlijk en schadelijk, omdat ze geen interactie met het doel vereisen om tot een succesvolle infectie te leiden.
Snel antwoord
Het algemene concept van een man-on-the-side-aanval is dat wanneer de aanvaller een verzoek om een specifieke bron op het netwerk ziet (door zijn onderscheppingsmogelijkheden of strategische positie op het netwerk van de ISP), hij het slachtoffer sneller probeert te antwoorden dan de legitieme server. Als de aanvaller de “race” wint, zal de computer vervolgens de door de aanvaller geleverde gegevens gebruiken in plaats van de normale gegevens. Zelfs als de aanvallers de meeste “races” niet winnen, kunnen ze het opnieuw proberen tot ze slagen, zodat ze uiteindelijk gegarandeerd de meeste apparaten zullen infecteren.
Spyware
Na een aanval ontvangt de computer een spywaretoepassing die een indrukwekkende hoeveelheid informatie kan verzamelen. De aanvallers kunnen alle bestanden die op het apparaat zijn opgeslagen, bekijken en downloaden en alle documenten doorzoeken op trefwoorden. Over het algemeen richt LuoYu zich op buitenlandse diplomatieke organisaties die in China zijn gevestigd en op leden van de academische gemeenschap, maar ook op defensie-, logistieke en telecombedrijven. De actor gebruikt WinDealer om Windows-apparaten aan te vallen
Complex algoritme
Gewoonlijk bevat malware een hardgecodeerde Command and Control-server van waaruit de kwaadwillende het hele systeem bestuurt. Met informatie over deze server is het mogelijk om het IP-adres van de machines waarmee de malware communiceert te blokkeren, waardoor de dreiging geneutraliseerd wordt.
WinDealer vertrouwt echter op een complex IP-generator algoritme om te bepalen met welke machine contact moet worden opgenomen. Dit omvat een reeks van 48.000 IP-adressen, waardoor het voor de operator bijna onmogelijk is om zelfs maar een klein deel van de adressen te controleren. De enige manier om dit schijnbaar onmogelijke netwerkgedrag te verklaren is door te veronderstellen dat de aanvallers over aanzienlijke onderscheppingsmogelijkheden beschikken binnen dit IP-bereik en zelfs netwerkpakketten kunnen lezen die geen bestemming bereiken.
Geen interactie met doelwit
De man-on-the-side-aanval is met name schadelijk omdat er geen interactie met het doelwit nodig is om tot een succesvolle infectie te leiden: een apparaat hebben dat met het internet is verbonden is al voldoende. Bovendien kunnen gebruikers niets doen om zich te beschermen, afgezien van het omleiden van verkeer via een ander netwerk. Dit kan worden gedaan met een VPN, maar dit is, afhankelijk van het gebied, wellicht geen optie, en zou doorgaans niet beschikbaar zijn voor Chinese burgers, meldt Kaspersky.
