Malware met de naam WinDealer heeft de mogelijkheid om netwerkverkeer binnen te dringen via een man-on-the-side aanval, dit ontdekten Kaspersky-onderzoekers. De malware wordt verspreid door de Chinees sprekende Advanced Persistent Threat (APT)-actor LuoYu. Deze baanbrekende ontwikkeling stelt de cybercrimineel in staat om netwerkverkeer in-transit aan te passen en kwaadaardige payloads in te voegen. Dergelijke aanvallen zijn bijzonder gevaarlijk en schadelijk, omdat ze geen interactie met het doel vereisen om tot een succesvolle infectie te leiden.
Naar aanleiding van de bevindingen van TeamT5 hebben Kaspersky-onderzoekers een nieuwe distributiemethode ontdekt die door exploitanten wordt toegepast om de WinDealer-malware te verspreiden. Meer specifiek gebruikten ze een man-on-the-side-aanval om verkeer te lezen en nieuwe berichten in te voegen.
Het algemene concept van een man-on-the-side-aanval is dat wanneer de aanvaller een verzoek om een specifieke bron op het netwerk ziet (door zijn onderscheppingsmogelijkheden of strategische positie op het netwerk van de ISP), hij het slachtoffer sneller probeert te antwoorden dan de legitieme server. Als de aanvaller de "race" wint, zal de computer vervolgens de door de aanvaller geleverde gegevens gebruiken in plaats van de normale gegevens. Zelfs als de aanvallers de meeste "races" niet winnen, kunnen ze het opnieuw proberen tot ze slagen, zodat ze uiteindelijk gegarandeerd de meeste apparaten zullen infecteren.
Na een aanval ontvangt de computer een spywaretoepassing die een indrukwekkende hoeveelheid informatie kan verzamelen. De aanvallers kunnen alle bestanden die op het apparaat zijn opgeslagen, bekijken en downloaden en alle documenten doorzoeken op trefwoorden. Over het algemeen richt LuoYu zich op buitenlandse diplomatieke organisaties die in China zijn gevestigd en op leden van de academische gemeenschap, maar ook op defensie-, logistieke en telecombedrijven. De actor gebruikt WinDealer om Windows-apparaten aan te vallen
Gewoonlijk bevat malware een hardgecodeerde Command and Control-server van waaruit de kwaadwillende het hele systeem bestuurt. Met informatie over deze server is het mogelijk om het IP-adres van de machines waarmee de malware communiceert te blokkeren, waardoor de dreiging geneutraliseerd wordt. WinDealer vertrouwt echter op een complex IP-generator algoritme om te bepalen met welke machine contact moet worden opgenomen. Dit omvat een reeks van 48.000 IP-adressen, waardoor het voor de operator bijna onmogelijk is om zelfs maar een klein deel van de adressen te controleren. De enige manier om dit schijnbaar onmogelijke netwerkgedrag te verklaren is door te veronderstellen dat de aanvallers over aanzienlijke onderscheppingsmogelijkheden beschikken binnen dit IP-bereik en zelfs netwerkpakketten kunnen lezen die geen bestemming bereiken.
De man-on-the-side-aanval is met name schadelijk omdat er geen interactie met het doelwit nodig is om tot een succesvolle infectie te leiden: een apparaat hebben dat met het internet is verbonden is al voldoende. Bovendien kunnen gebruikers niets doen om zich te beschermen, afgezien van het omleiden van verkeer via een ander netwerk. Dit kan worden gedaan met een VPN, maar dit is, afhankelijk van het gebied, wellicht geen optie, en zou doorgaans niet beschikbaar zijn voor Chinese burgers.
De overgrote meerderheid van de LuoYu-slachtoffers bevindt zich in China, dus Kaspersky-experts denken dat de LuoYu APT zich voornamelijk richt op Chineestalige slachtoffers en organisaties die gerelateerd zijn aan China. Kaspersky-onderzoekers hebben echter ook aanvallen opgemerkt in andere landen, zoals Duitsland, Oostenrijk, de Verenigde Staten, Tsjechië, Rusland en India.
Geografische spreiding van WinDealer-aanvallen
Suguru Ishimaru, Senior Security Researcher bij Kaspersky's Global Research and Analysis Team (GReAT): "LuoYu is een uiterst geraffineerde dreigingsactor die in staat is om gebruik te maken van functionaliteiten die alleen beschikbaar zijn voor de meest volwassen aanvallers. We kunnen alleen maar speculeren over de vraag hoe ze dergelijke capaciteiten hebben kunnen ontwikkelen. Man-on-the-side-aanvallen zijn uiterst destructief omdat de enige voorwaarde om een apparaat aan te vallen is dat het met internet is verbonden. Zelfs als de aanval de eerste keer mislukt, kunnen aanvallers het proces steeds herhalen tot ze slagen. Op die manier kunnen zij uiterst gevaarlijke en succesvolle spionageaanvallen uitvoeren op hun slachtoffers, onder wie doorgaans diplomaten, wetenschappers en werknemers van andere belangrijke sectoren. Hoe de aanval ook is uitgevoerd, de enige manier voor potentiële slachtoffers om zich te verdedigen is uiterst waakzaam te blijven en te beschikken over robuuste securityprocedures, zoals regelmatige antivirusscans, analyse van uitgaand netwerkverkeer en uitgebreide logging om onregelmatigheden op te sporen.”