Атака «людина на стороні» або man-on-the-side – це досить ресурсно-витратна атака, в ході якої шкідливе програмне забезпечення впроваджується в легітимний мережевий трафік жертви. Схема атаки будується так: зловмисник бачить запити на підключення до певного ресурсу в мережі. Це відбувається шляхом перехоплення даних або завдяки стратегічному становищу мережі інтернет-провайдера. Потім він відповідає жертві швидше, ніж легітимний сервер, та відправляє заражену версію запитаного файлу. Навіть якщо атакуючі не досягають успіху з першого разу, вони повторюють свої спроби, поки не заразять більшість пристроїв, завантаживши на них шпигунський софт. Далі за допомогою такого софту можна отримати доступ до будь-яких файлів, що зберігаються на пристрої.

Група кіберхакерів LuoYu, яка вважається китайськомовною, розповсюджує свою злошкідливу програму WinDealer саме за допомогою атак типу man-on-the-side. Основні цілі кампанії – іноземні дипломатичні організації, члени академічної спільноти, а також оборонні, логістичні та телекомунікаційні компанії на території Китаю, Індії, Німеччини, Австрії, США та Чехії.

WinDealer не має чітко прописаного командного сервера. Адже якщо фахівець з кібербезпеки зможе виявити адресу такого сервера, він заблокує і тим самим усуне загрозу. Тому WinDealer використовує алгоритм генерації IP-адрес і потім з 48 тисяч згенерованих адрес вибирає, з якою він працюватиме як сервер. Однак зрозміло, що оператори не можуть контролювати таку кількість серверів. Тому або зловмисники перехоплюють трафік до згенерованих IP-адрес (що означає їхнє глибоке проникнення в мережу провайдера), або мають лише кілька штук і чекають, поки алгоритм генерації вкаже саме на ці адреси.

Щоб захиститися від такої складної загрози як WinDealer, рекомендується регулярно проводити аудит кібербезпеки мереж і усувати всі виявлені вразливості. Також фахівці радять у разі загрози маршрутизувати трафік через іншу мережу, наприклад, за допомогою VPN. Однак такий шлях можливий не завжди. Також не варто завантажувати скрипти та програми з нешифрованого протоколу HTTP. Сайт повинен передавати зашифрованим протоколом не тільки сторінки, а й файли.