Согласно выводам исследователей из организации Citizen Lab, в Египте, Сирии и Турции технологии DPI использовались для установки на устройства пользователей вредоносного ПО с целью осуществления слежки за ними.
На прошлой неделе исследователи из Citizen Lab обнаружили, что устройства PacketLogic от компании Sandvine использовались для захвата незашифрованных интернет-подключений пользователей. Этот случай является еще одной хорошей демонстрацией важности шифрования сети с помощью протокола HTTPS. Турецкие и сирийские пользователи, пытавшиеся загрузить официальные приложения, вместо этого неосознанно устанавливали вредоносное ПО, предназначенное для слежки за ними. В Египте эти устройства вводили контент, направленный на зарабатывание денег, в веб-трафик пользователей, в том числе рекламные и криптовалютные скрипты.
NEW REPORT: Bad Traffic: Deep Packet Inspection Devices Used to Deploy
Government Spyware in Turkey and Redirect Egyptian Users to Affiliate Ads?https://t.co/5Ui7AQnPOT
packetlogic-devices-deploy-government-spyware-turkey-syria pic.twitter.com/x5BYl6wEwZ— Citizen Lab (@citizenlab) March 9, 2018
Это стандартные кибератаки по схеме “человек посередине” (MITM), в рамках которых компьютер на пути между вашим браузером и официальным веб-сервером способен перехватывать и изменять трафик. Это может произойти, если ваши веб-соединения используют стандартный протокол HTTP, поскольку данные, передаваемые по HTTP, не шифруются и могут быть изменены или прочитаны кем угодно в сети.
Huge: @Citizenlab catches ISPs invisibly redirecting download requests for popular programs, injecting them with government spyware. Unencrypted web traffic is now provably a critical, in-the-wild vulnerability. 20-30% of top internet sites affected. https://t.co/5RR8BlkicH
— Edward Snowden (@Snowden) March 9, 2018
Модули Sandvine работали как раз по такой схеме. Так в сети оператора Türk Telekom, при попытках пользователей загрузить приложения через HTTP, эти устройства вводили поддельные “перенаправленные” сообщения, которые заставляли браузер пользователя загружать файл с другого, вредоносного сайта. Пользователи, загружающие обычные приложения, такие как Avast Antivirus, 7-Zip, Opera, CCleaner и программы из download.cnet.com, вместо этого установили опасные приложения, даже не заметив этого. Как отмечает Citizen Lab, устройства компании Sandvine, используемые Egypt Telecom, опирались на аналогичные методы для встраивания модулей монетизации в HTTP-соединения, перенаправляя существующие рекламные ссылки на аффилированные рекламные объявления, а файлы javascript на скрипты для майнинга криптовалют.
Researchers at @citizenlab discovered that unencrypted Internet connections in Turkey and Syria were hijacked and served malicious spyware—making yet another case for encrypting the web with HTTPS. https://t.co/LOTti2QBZw
— EFF (@EFF) March 13, 2018
Администраторы сайтов могут снизить число и последствия таких атак, используя HTTPS вместо HTTP. Любой пользователь может убедиться, что когда веб-страница была загружена по HTTPS, в большинстве распространенных браузеров слева от адресной строки будет присутствовать информация о защищенном соединении. Тем не менее, при загрузке файлов все еще могут возникать проблемы. Например, в то время как на самом сайте антивируса Avast используется HTTPS, для предоставления пользователям своих продуктов через скачивание из интернета они используют HTTP.
Такие программные решения, как Let‘s Encrypt и Certbot упрощают развертывание веб-сайтов под HTTPS и обеспечивают защищенный доступ к контенту. В текущем году Google Chrome планирует отмечать все HTTP-сайты как “небезопасные”. Сегодня почти 80% веб-трафика в США зашифровано с помощью протокола HTTPS. Конечные пользователи могут использовать расширение HTTPS Everywhere от Фонда электронных рубежей (Electronic Frontier Foundation, EFF) для увеличения степени защиты своих интернет-соединений.
.
По материалам eff.org
Перевод: Максим Волков, специально для РосКомСвободы
Читайте также:
Пентагон проверит 80% всех мировых IP на наличие вредоносных программ
?
Dark Caracal: новая кампания по кибершпионажу, охватившая тысячи устройств по всему миру
?
Человеческая ДНК как опасный для компьютеров код
?
Privacy International представила «Гид по международному праву и слежке»
?
В России засекречены сведения о критической информационной инфраструктуре
Главное за неделю в области права.
23 декабря 2022 года Минюст включил Роскомсвободу в реестр незарегистрированных общественных объединений, выполняющих функции иностранного агента. Мы не согласны с этим решением и обжалуем его в суде.