Man-on-the-Side – außergewöhnliche Angriffsmethode

Was ist ein Man-on-the-Side-Angriff und wie unterscheidet er sich von einem Man-in-the-Middle-Angriff?

Es gibt Angriffe, von denen jeder schon einmal gehört hat, wie z. B. Distributed-Denial-of-Service-Angriffe (DDoS); es gibt solche, die meist nur Profis kennen, wie z. B. Man-in-the-Middle-Angriffe (MitM); und dann gibt es noch die selteneren, exotischeren Angriffe, wie z. B. Man-on-the-Side-Angriffe (MotS). In diesem Beitrag erzählen wir Ihnen mehr über MotS-Angriffe und wie sie sich von Man-in-the-Middle-Angriffen unterscheiden.

Bitte was für ein Angriff?!

Wie funktioniert ein Man-on-the-Side-Angriff überhaupt? Hierbei wird im Wesentlichen eine Client-Anfrage über einen kompromittierten Datenübertragungskanal an einen Server gesendet. Dieser Kanal wird zwar nicht von Cyberkriminellen kontrolliert, aber von ihnen „abgehört“. In den meisten Fällen erfordert ein solcher Angriff den Zugriff auf die Hardware des Internet-Anbieters, was nur sehr selten vorkommt und Man-on-the-Side-Angriffe somit zu einer Rarität macht. Diese Art des Angriffs überwacht Client-Anfragen und generiert seine eigenen schädlichen Antworten.

Ein Man-in-the-Middle-Angriff funktioniert ähnlich. Auch hier greifen die Angreifer in den Datenübertragungsprozess zwischen Client und Server ein. Der primäre Unterschied zwischen diesen beiden Methoden besteht jedoch darin, dass die Client-Anfrage beim Man-on-the-Side-Angriff den Empfänger (den Server) erreicht. Daher ist es das Ziel der Angreifer, schnellstmöglich auf die Anfrage des Clients zu reagieren.

Bei Man-in-the-Middle-Angriffen haben Angreifer eine größere Kontrolle über den Datenübertragungskanal. Sie fangen die Anfrage ab und können Daten, die von anderen Netzwerknutzern gesendet werden, ändern oder löschen.

Ein Man-in-the-Middle-Angriff ist wesentlich invasiver als ein Man-on-the-Side-Angriff und daher auch leichter zu erkennen. Wie ein Man-in-the-Middle-Angriff genau funktioniert, haben wir anhand des berühmten Märchens Rotkäppchen in diesem Beitrag genauer beschrieben!

Aber wie funktioniert ein Man-on-the-Side-Angriff?

Ein erfolgreicher Man-on-the-Side-Angriff ermöglicht es, gefälschte Antworten auf verschiedene Arten von Anfragen an den Computer des Opfers zu senden und auf diese Weise:

  • Eine Datei zu ersetzen, die der Nutzer downloaden wollte. Im Jahr 2022 lieferte die APT-Gruppe LuoYu die Malware WinDealer an Geräte, die hauptsächlich zu in China ansässigen Diplomaten, Wissenschaftlern oder Unternehmern gehörten. Dabei wurde die Anfrage eines legitimen Software-Updates an den Server geschickt – dabei schafften die Angreifer es, ihre eigene Patch-Version, ausgestattet mit Malware, zu senden.
  • Ein schädliches Skript auf dem Gerät auszuführen. Der Electronic Frontier Foundation zufolge, versuchte die chinesische Regierung im Jahr 2015 auf diese Weise, die bekannte Open-Source-Community GitHub zu zensieren. Die Angreifer nutzten einen Man-on-the-Side-Angriff, um ein schädliches JavaScript an Browser nichtsahnender Nutzer auszuliefern. Infolgedessen wurden die GitHub-Seiten in diesen Browsern immer wieder neu geladen. Dieser DDoS-Angriff dauerte mehr als fünf Tage und behinderte den Dienst erheblich;
  • Das Opfer auf die Website umzuleiten.

Nebenbei bemerkt werden auch die Geheimdienste verschiedener Ländern verdächtigt, diese Art von Angriffen durchzuführen.

So schützen Sie sich

Wir wiederholen noch einmal, dass Man-on-the-Side-Angriffe recht selten sind. Um einen solchen ausführen zu können, müssen die Angreifer zunächst Zugriff auf die Hardware des Anbieters haben. Aus diesem Grund sind Geschäftsreisen, Konferenzen oder andere Gelegenheiten, bei denen sich Mitarbeiter mit fraglichen WLAN-Netzwerken verbinden, mit einem hohen Risiko verbunden. Für einen angemessenen Schutz empfehlen wir daher immer den Einsatz eines VPN sowie einer starken Sicherheitslösung auf allen Arbeitsgeräten.

Tipps