Man-on-the-side – um tipo peculiar de ataque

Existem ataques dos quais todos já ouviram falar, como os ataques distribuídos de negação de serviço (DDoS, na sigla em inglês); há aqueles que, em sua maioria, apenas os profissionais conhecem, como os ataques man-in-the-middle (MitM); e então existem os mais raros e exóticos, como ataques man-on-the-side (MotS). Neste post, falamos com mais detalhes sobre este último e discutimos como eles se diferem dos ataques man-in-the-middle.

Ataque de quem e onde?!

Então, como funciona um ataque man-on-the-side? Basicamente, um cliente envia uma solicitação a um servidor por meio de um canal de transferência de dados comprometido. Este canal não é controlado pelos cibercriminosos, mas é “escutado” por eles. Na maioria dos casos, esse tipo de ação requer acesso ao hardware do provedor de Internet, e isso é algo muito raro – e é por isso que os ataques man-on-the-side são menos frequentes. Por meio deles, há o monitoramento das solicitações do cliente e a geração de respostas maliciosas próprias.

Um ataque man-in-the-middle funciona de maneira semelhante. Os invasores também exploram o processo de transferência de dados entre o cliente e o servidor. A principal diferença entre esses dois tipos de ataques é que a solicitação do cliente man-on-the-side chega ao destinatário (no caso, o servidor). Portanto, o objetivo dos invasores é responder mais rapidamente à solicitação do cliente.

Quanto ao man-in-the-middle, os invasores têm um maior nível de controle sobre o canal de transferência de dados. Eles interceptam a solicitação e podem modificar ou excluir dados enviados por outros usuários da rede. Assim, eles não precisam ultrapassar a resposta do servidor.

No entanto, o man-in-the-middle é um ataque muito mais invasivo do que um man-in-the-side. E isso significa que é mais fácil de ser detectado. Descrevemos com mais detalhes como funciona um ataque man-in-the-middle, com um exemplo que tem como base a… Chapeuzinho Vermelho neste post!

OK, mas como funciona o ataque man-on-the-side?

Um ataque man-on-the-side bem-sucedido possibilita o envio de respostas falsas a vários tipos de solicitações ao computador da vítima e, dessa forma, pode:

• Substituir um arquivo que o usuário deseja baixar. Em 2022, por exemplo, o grupo APT LuoYu espalhou o malware WinDealer para dispositivos de vítimas, a maioria das quais eram diplomatas, cientistas ou empresários na China. Uma solicitação foi enviada ao servidor para atualizar o software legítimo, mas os invasores conseguiram enviar sua própria versão de patch, completa com malware;
• Executar um script malicioso no dispositivo. De acordo com a Electronic Frontier Foundation, foi exatamente assim que, em 2015, o governo chinês tentou censurar a conhecida comunidade de código aberto GitHub. Os invasores usaram um ataque man-on-the-side para fornecer JavaScript malicioso aos navegadores de usuários desavisados. Como resultado, esses navegadores atualizavam as páginas do GitHub repetidamente. Este ataque DDoS durou mais de cinco dias e prejudicou significativamente o serviço;
• Redirecionar a vítima para um website.

Por outro lado, as agências de inteligência em vários países também são suspeitas de usar esse tipo de ataque.

Meios de proteção

Repetiremos mais uma vez que os ataques man-on-the-side são bastante raros. Os invasores precisam ter acesso ao hardware do provedor para realizá-los. Portanto, viagens de negócios, conferências de trabalho ou qualquer outra ocasião em que seus funcionários se conectem a Wi-Fi questionável são situações de alto risco. Para se manter seguro, recomendamos sempre trabalhar por meio de uma VPN e usar uma ”solução em todos os dispositivos corporativos dos colaboradores.