Что такое кибератака "посредника" и как ее предотвратить

Ирина Фоменко

Атака посредника или "человек посередине" (man-in-the-middle, MitM) -  когда злоумышленник перехватывает связь между двумя сторонами, либо тайно подслушивает, либо изменяет трафик, проходящий между ними. Хакеры могут использовать атаки MitM для кражи учетных данных или личной информации, шпионажа за жертвой, диверсии коммуникации или искажения данных, пишет IT News.

1.jpg (74 KB)

"Атаки MitM являются тактическим средством для достижения цели, которая может заключаться в шпионаже за отдельными лицами или группами для перенаправления усилий, средств, ресурсов или внимания", - пояснил технический стратег CrowdStrike Зеки Туриди.

Хотя от MitM можно защититься с помощью шифрования, злоумышленники могут перенаправлять трафик на фишинговые сайты либо передавать его к месту назначения или регистрации, что делает обнаружение подобных атак невероятно сложным.

Как работают атаки MitM?

Атаки MitM подразумевают "посредника" между соединением двух сторон, наблюдение за трафиком или манипулирование им. Это может быть вторжение в законные сети или создание поддельных, которые будет контролировать злоумышленник.

Скомпрометированный трафик затем удаляется из любого шифрования для кражи, изменения или перенаправления этого трафика к месту назначения (фишинговый сайт). Поскольку злоумышленники могут повторно шифровать перехваченный трафик, обнаружить подобную атаку крайне сложно.

"MitM-атаки - когда злоумышленник фактически находится между жертвой и законным хостом, к которому пытается подключиться пострадавший. Таким образом, хакер либо пассивно прослушивает соединение, либо перехватывает его, завершает и устанавливает новое соединение с пунктом назначения", - заявил декан Технологического института SANS Йоханнес Ульрих.

2.png (33 KB)

MitM включает в себя широкий спектр методов и потенциальных результатов, в зависимости от цели и задачи. Например, при разборке SSL злоумышленники устанавливают соединение HTTPS между собой и сервером, но с незащищенным HTTP-соединением с пользователем - информация отправляется в виде простого текста без шифрования.

Атаки Evil Twin отражают действительные точки доступа Wi-Fi, но полностью контролируются злоумышленниками, которые теперь могут отслеживать, собирать или манипулировать всей информацией пользователя.

"Эти типы атак могут быть направлены на шпионаж или финансовую выгоду. Наносимый ущерб варьируется от маленького до огромного, в зависимости от целей атакующего и способности причинять вред", - прокомментировал Туриди.

В случае с банками злоумышленник видит, что пользователь совершает перевод, и меняет номер целевого счета или отправляемую сумму. Хакеры используют MitM-атаки для сбора личной информации или учетных данных.

3.png (56 KB)

Если злоумышленники обнаруживают загрузку или обновление приложений, они устанавливают вредоносное ПО вместо законного. Набор эксплойтов EvilGrade был разработан специально для плохо защищенных обновлений. Учитывая, что им часто не удается зашифровать трафик, мобильные устройства особенно подвержены риску.

"Эти атаки могут быть легко автоматизированы. Существуют инструменты для автоматизации, которые ищут пароли и записывают их в файл, а потом отправляют вредоносный трафик обратно", - объяснил Ульрих.

Несмотря на то, что часто атаки по Wi-Fi или физической сети требуют близости к жертве, также возможно удаленное нарушение протоколов маршрутизации.

"Это более сложная и изощренная атака. Злоумышленники могут объявить себя в Интернете ответственными за эти IP-адреса, затем Интернет направляет их преступнику, после чего хакеры снова запускают MitM-атаки", - заявил Ульрих. – "Они также могут изменять настройки DNS для определенного домена. Если вы переходите на определенный веб-сайт, то на самом деле подключаетесь IP-адресу злоумышленника - так преступник может начать атаку "человек посередине"".

MitM-атаки можно проводить через поддельные вышки сотовой связи. Правоохранительные органы в США, Канаде и Великобритании использовали их для массового сбора информации. Исследователи из Технического университета Берлина, ETH Zurich и SINTEF Digital в Норвегии недавно обнаружили уязвимости в протоколах Authentication and Key Agreement (AKA), используемых в 3G, 4G и 5G, которые могут привести к выполнению хакерами MitM-атак.

Насколько распространены MitM-атаки?

4.png (128 KB)

Хотя атаки MitM не так распространены, как вирусы-вымогатели или фишинговые атаки, они представляют собой постоянную угрозу для организаций. В документе IBM X-Force Threat Intelligence Index 2018 сообщается, что 35% эксплуатации включали MitM-атаки.

"Я бы сказал, основываясь на неподтвержденных данных, что атаки MitM не сильно распространены. Многих целей - слежка за данными/коммуникациями, перенаправление трафика – можно достигнуть с помощью вредоносных программ, установленных в системе жертвы. Если есть более простые способы выполнения атак, противник часто выбирает легкий путь", - заявил аналитик разведки угроз Palo Alto Networks Алекс Хинчлифф.

Примечательным недавним примером была группа российских агентов ГРУ, которые пытались взломать офис Организации по запрещению химического оружия (ОЗХО) в Гааге, используя спуфинговое устройство Wi-Fi.

В 2017 году в Electronic Frontier Foundation (EFF) заявили, что более половины всего интернет-трафика теперь зашифровано, а Google – что в некоторых странах более 90%. Основные браузеры, такие как Chrome и Firefox, также будут предупреждать пользователей, если они подвергаются риску MitM-атак.

"С ростом применения SSL и появлением современных браузеров атаки MitM стали менее популярными. Принципы MitM используют в очень сложных атаках. Один из примеров - вредоносное ПО, нацеленное на сеть SWIFT крупной финансовой организации, в которой использовался метод MitM для создания ложного баланса счета, поскольку средства пересылались на счет киберпреступника", - поделился Туриди.

Однако угроза все еще существует. Например, банковский троян Retefe перенаправляет трафик с банковских доменов через серверы, контролируемые злоумышленником, расшифровывая и изменяя запрос перед повторным шифрованием данных и отправкой их в финучреждение. Недавно обнаруженный недостаток протокола TLS, включая новейшую версию 1.3, позволяет злоумышленникам нарушать RSA и перехватывать данные.

Предотвращение MitM-атак

Протоколы шифрования, такие как TLS, являются лучшим способом защиты от атак MitM. Последняя версия TLS стала официальным стандартом в августе 2018 года. Есть и другие, например, SSH или более новые протоколы - QUIC от Google.

В целях обучения поощряйте персонал:

  • не использовать открытый Wi-Fi или Wi-Fi в общественных местах, поскольку такие соединения легче взломать;
  • прислушиваться к предупреждениям браузеров о том, что сайты или соединения незаконны;
  • использовать VPN для обеспечения безопасности соединений.

5.jpg (70 KB)

"Лучшие методы включают многофакторную аутентификацию, максимальное управление сетью, видимость, а также сегментирование вашей сети", - заявил Хинчлифф.

Эксперты считают, что лучше предотвратить атаку, чем после - исправлять ситуацию. "Эти атаки трудно обнаружить большинству традиционных устройств безопасности", - прокомментировал Туриди.

Если квантовая криптография станет коммерчески жизнеспособной, она может обеспечить надежную защиту от MitM-атак: невозможно копировать квантовые данные, нельзя их контролировать, не изменив состояние, и, следовательно, предоставить надежный индикатор, если трафик подвергается вмешательству.

Является ли Интернет вещей следующей границей для атак MitM?

Аналитики прогнозируют, что количество устройств, подключенных к Интернету, может вырасти до десятков миллиардов в течение следующих пяти лет. К сожалению, отсутствие безопасности во многих устройствах означает, что рост числа IoT-девайсов привет к скачку атак MitM.

"IoT-устройства, как правило, более уязвимы для взломов, потому что они не реализуют стандартные меры по защите от MitM-атак. Многие IoT-девайсы еще не используют TLS", - заявил Ульрих.

Новое исследование, проведенное Институтом Ponemon и OpenSky, показало, что 61% специалистов по безопасности в США говорят, что не могут контролировать распространение устройств IoT и IIoT в своих компаниях, в то время как 60% - что они не могут избежать взломов безопасности и нарушений данных, связанных с IoT и IIoT.