Согласно выводам исследователей из организации Citizen Lab, в Египте, Сирии и Турции технологии DPI использовались для установки на устройства пользователей вредоносного ПО с целью осуществления слежки за ними.
На прошлой неделе исследователи из Citizen Lab обнаружили, что устройства PacketLogic от компании Sandvine использовались для захвата незашифрованных интернет-подключений пользователей. Этот случай является еще одной хорошей демонстрацией важности шифрования сети с помощью протокола HTTPS. Турецкие и сирийские пользователи, пытавшиеся загрузить официальные приложения, вместо этого неосознанно устанавливали вредоносное ПО, предназначенное для слежки за ними. В Египте эти устройства вводили контент, направленный на зарабатывание денег, в веб-трафик пользователей, в том числе рекламные и криптовалютные скрипты.
NEW REPORT: Bad Traffic: Deep Packet Inspection Devices Used to Deploy
Government Spyware in Turkey and Redirect Egyptian Users to Affiliate Ads?https://t.co/5Ui7AQnPOT
packetlogic-devices-deploy-government-spyware-turkey-syria pic.twitter.com/x5BYl6wEwZ— Citizen Lab (@citizenlab) March 9, 2018
Это стандартные кибератаки по схеме “человек посередине” (MITM), в рамках которых компьютер на пути между вашим браузером и официальным веб-сервером способен перехватывать и изменять трафик. Это может произойти, если ваши веб-соединения используют стандартный протокол HTTP, поскольку данные, передаваемые по HTTP, не шифруются и могут быть изменены или прочитаны кем угодно в сети.
Huge: @Citizenlab catches ISPs invisibly redirecting download requests for popular programs, injecting them with government spyware. Unencrypted web traffic is now provably a critical, in-the-wild vulnerability. 20-30% of top internet sites affected. https://t.co/5RR8BlkicH
— Edward Snowden (@Snowden) March 9, 2018
Модули Sandvine работали как раз по такой схеме. Так в сети оператора Türk Telekom, при попытках пользователей загрузить приложения через HTTP, эти устройства вводили поддельные “перенаправленные” сообщения, которые заставляли браузер пользователя загружать файл с другого, вредоносного сайта. Пользователи, загружающие обычные приложения, такие как Avast Antivirus, 7-Zip, Opera, CCleaner и программы из download.cnet.com, вместо этого установили опасные приложения, даже не заметив этого. Как отмечает Citizen Lab, устройства компании Sandvine, используемые Egypt Telecom, опирались на аналогичные методы для встраивания модулей монетизации в HTTP-соединения, перенаправляя существующие рекламные ссылки на аффилированные рекламные объявления, а файлы javascript на скрипты для майнинга криптовалют.
Researchers at @citizenlab discovered that unencrypted Internet connections in Turkey and Syria were hijacked and served malicious spyware—making yet another case for encrypting the web with HTTPS. https://t.co/LOTti2QBZw
— EFF (@EFF) March 13, 2018
Администраторы сайтов могут снизить число и последствия таких атак, используя HTTPS вместо HTTP. Любой пользователь может убедиться, что когда веб-страница была загружена по HTTPS, в большинстве распространенных браузеров слева от адресной строки будет присутствовать информация о защищенном соединении. Тем не менее, при загрузке файлов все еще могут возникать проблемы. Например, в то время как на самом сайте антивируса Avast используется HTTPS, для предоставления пользователям своих продуктов через скачивание из интернета они используют HTTP.
Такие программные решения, как Let‘s Encrypt и Certbot упрощают развертывание веб-сайтов под HTTPS и обеспечивают защищенный доступ к контенту. В текущем году Google Chrome планирует отмечать все HTTP-сайты как “небезопасные”. Сегодня почти 80% веб-трафика в США зашифровано с помощью протокола HTTPS. Конечные пользователи могут использовать расширение HTTPS Everywhere от Фонда электронных рубежей (Electronic Frontier Foundation, EFF) для увеличения степени защиты своих интернет-соединений.
.
По материалам eff.org
Перевод: Максим Волков, специально для РосКомСвободы
Читайте также:
Пентагон проверит 80% всех мировых IP на наличие вредоносных программ
?
Dark Caracal: новая кампания по кибершпионажу, охватившая тысячи устройств по всему миру
?
Человеческая ДНК как опасный для компьютеров код
?
Privacy International представила «Гид по международному праву и слежке»
?
В России засекречены сведения о критической информационной инфраструктуре
The main news of the week in the field of law.
On December 23, 2022, the Ministry of Justice included Roskomsvoboda in the register of unregistered public associations performing the functions of a foreign agent. We disagree with this decision and are appealing it in court.