Ретрансляційна атака – це тип кібератаки, при якій зловмисник перехоплює та перенаправляє легітимний трафік між двома або кількома системами. Мета атаки – отримати несанкціонований доступ до інформації, перехопити дані або порушити роботу системи.
Ретрансляційні атаки відомі досить давно. Якщо ввести в пошуковій системі “Relay attacks”, то можна знайти багато сторінок, які були створені навіть 20 років тому. У комп’ютерній літературі термін Relay використовується для позначення процесу повторної передачі. У цьому процесі інформацію для повторення просто надсилають на вказану адресу. Той, хто передає інформацію, не обов’язково має її розбирати семантично чи структурно, він є посередником. Визначення досить просте, але реалізація часом пов’язана з великою кількістю особливостей та обмежень.
Основною умовою проведення атаки є те, що атакуючий перед початком “повторення” повинен бути посередині з’єднання, тобто контролювати або хоча б спостерігати процес передачі інформації. Для такого стану існує окремий термін Атака “Людина посередині” (MITM). За фактом, це ще одна атака, яка використовується для запуску Relay.
Чому ретрансляційні атаки існують і де використовуються?
Будь-яка інформаційна система має регламентувати правила безпечної передачі між учасниками обміну. Правила повинні включати як захист даних від витоку, так і правила розмежування доступу до інформації між учасниками системи. Перше завдання в системах зазвичай вирішується за допомогою криптографічних методів перетворення, а друге – за рахунок використання спеціальних ідентифікаторів, які в рамках системи мають унікальні характеристики та дозволяють ідентифікувати облікові дані користувача, який володіє ідентифікатором. Найчастіше ці ідентифікатори використовуються для реалізації механізмів криптографії.
Ретрансляційна атака має на увазі просто процес повторення передачі даних, тобто її шаблон добре підходить для того, щоб впливати на стан систем, навіть не маючи до них прямого доступу. Особливо це актуально, якщо у системі використовуються криптографічні методи захисту. Однак, якщо правильно застосувати атаку, можна отримувати доступ до системи, запускати механізми обробки даних, викликати проблеми у функціонуванні систем. Відомі приклади успішних ретрансляційних атак на корпоративні системи управління доступом, системи NFS і т.д.
Реальні приклади ретрансляційних атак
1. Атака на сайт PayPal у 2018 році
У 2018 році зловмисники здійснили ретрансляційну атаку на сайт PayPal, перехопивши та перенаправивши трафік користувачів на фейковий сайт. Зловмисники використовували цю атаку, щоб викрасти логіни та паролі користувачів PayPal.
2. Атака на мережу банкоматів у 2016 році
У 2016 році хакерам вдалося атакувати мережу банкоматів, перехопивши та перенаправивши трафік банкоматів на свій власний сервер. Таким чином злочинці намагались зняти гроші з рахунків клієнтів без їхнього відома.
3. Атака на сайт Amazon у 2014 році
У 2014 році ретрансляційної атаки зазнав сайт Amazon, хакери перехопили та перенаправили трафік користувачів на фейковий сайт. Зловмисники використовували цю атаку, щоб викрасти особисту інформацію користувачів Amazon.
4. Атака на сайт Sony PlayStation Network у 2011 році
У 2011 році зловмисники здійснили ретрансляційну атаку на сайт Sony PlayStation Network, перехопивши та перенаправивши трафік користувачів на свій власний сервер. Таким чином хакери викрали особисту інформацію та платіжні дані користувачів PlayStation Network.
5. Атака на сайт Google у 2009 році
У 2009 році було атаковано Google, ретрансляійна атака перенаправляла трафік користувачів на фейковий сайт. Зловмисники використовували цю атаку, щоб викрасти логіни та паролі користувачів Google.
Типи ретрансляційних атак
Існує два основних типи ретрансляційних атак:
- Атаки з перенаправленням IP-адрес: Зловмисник перехоплює трафік між двома системами та перенаправляє його на свій власний сервер. Це дозволяє йому перехоплювати дані, змінювати трафік або навіть видавати себе за одну з систем.
- Атаки з перенаправленням DNS: Зловмисник змінює записи DNS на сервері жертви, щоб перенаправити трафік на свій власний сервер. Це може бути використано для перехоплення трафіку до веб-сайтів, електронної пошти або інших онлайн-сервісів.
Наслідки ретрансляційних атак
Ретрансляційні атаки можуть бути дуже небезпечними, оскільки вони можуть призвести до:
- Втрати даних: Зловмисник може перехопити конфіденційні дані, такі як паролі, номери кредитних карток або особисту інформацію.
- Порушення роботи системи: Зловмисник може змінювати трафік або відключати системи, що може призвести до фінансових втрат або інших проблем.
- Встановлення шкідливого програмного забезпечення: Зловмисник може використовувати ретрансляційну атаку, щоб заразити систему шкідливим програмним забезпеченням.
Як захиститися від ретрансляційних атак
- Використовуйте віртуальну приватну мережу (VPN): VPN шифрує ваш трафік, що ускладнює його перехоплення зловмисниками.
- Будьте обережні з публічними Wi-Fi мережами: Не використовуйте публічні Wi-Fi мережі для доступу до конфіденційної інформації.
- Тримайте своє програмне забезпечення в актуальному стані: Встановлюйте оновлення програмного забезпечення та операційної системи, щоб усунути відомі вразливості.
- Використовуйте брандмауер: Брандмауер може допомогти блокувати несанкціонований трафік до вашої системи.
- Будьте обережні з тим, на що ви натискаєте: Не натискайте на посилання або не завантажуйте файли з невідомих джерел.
Висновок
Незважаючи на те, що ретрансляційні атаки відомі вже давно, на даний момент вони залишаються все ще актуальними для інформаційних систем. Зокрема, адміністраторам безпеки Active Directory рекомендується включити підпис запитів NTLM протоколу, щоб уникнути злому системи за допомогою цього методу.
